Новая вредоносная программа InvisiMole, которая используется для кибершпионажа, открывает атакующим удаленный доступ к зараженному устройству, позволяет следить за действиями жертвы и перехватывать конфиденциальные данные.

По данным телеметрии ESET, кибергруппа, использующая InvisiMole, активна с 2013 года. Тем не менее, вредоносная программа не была изучена и не детектировалась до момента обнаружения продуктами ESET на зараженных компьютерах в России и Украине. InvisiMole предположительно применялась только в целевых атаках на высокопоставленные объекты (несколько десятков устройств), что позволяло избегать обнаружения на протяжении пяти лет.

InvisiMole имеет модульную архитектуру. Заражение начинается с модифицированной DLL, далее действуют два модуля –RC2FM и RC2CL, собирающие информацию о жертве.

Модуль RC2FM поддерживает 15 команд. В частности, он может удаленно включать микрофон, записывать аудио, делать снимки экрана, создавать списки файлов на встроенных и внешних дисках, а также передавать собранную информацию своим операторам. Получив соответствующую команду, модуль может вносить изменения в систему. 

Второй модуль, RC2CL, оснащен еще более широким списком инструментов шпионажа – 84 команды. Он изучает зараженный компьютер и передает атакующим исчерпывающие данные: системную и сетевую информацию, список установленных и используемых программ, недавно открытых документов и других интересующих файлов. Операторы InvisiMole могут удаленно включать веб-камеру и микрофон, делать снимки экрана и каждого открытого окна. Спайварь позволяет просматривать определенные директории и внешние устройства, отслеживать изменения документов и похищать файлы, выбранные атакующими.

Вектор заражения InvisiMole пока не установлен. В настоящее время рассматриваются все варианты, включая установку вручную при наличии у злоумышленников физического доступа к компьютеру.

Более подробная информация о InvisiMole и индикаторы компрометации доступны в блоге ESET на Хабрахабре.

 

 

20 июня, 2018

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

17.07.2026
Минцифры — за «нулевые» SIM-карты
17.07.2026
ИИ перешёл от сортировки резюме непосредственно к собеседованиям
17.07.2026
Киберустойчивость в фокусе «Информзащиты»
17.07.2026
Мастер ПДн от ARinteg включен в реестр отечественного ПО
17.07.2026
С 2027 года о банкирах расскажут только базовый минимум
17.07.2026
Три сотни репозиториев скрывали прожорливую малварь
16.07.2026
ООН: Сложность задач, решаемых ИИ-моделями, удваивается каждые 4–7 месяцев
16.07.2026
«Яндекс» подтвердил безопасность всех ИИ-моделей семейства Alice AI
16.07.2026
Кто заплатит жертве скамеров, покажет проверка
16.07.2026
Сервисы VK удаляют из магазинов приложений для Android

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных