ESET обнаружила новое шпионское ПО — InvisiMole, которая открывает мошенникам удаленный доступ к зараженному устройству и позволяет отслеживать действия пользователя.
ПО InvisiMole было создано группой хакеров, которые активны с 2013 года. Тем не менее, вредоносная программа не была изучена и не детектировалась. Высока вероятность, что InvisiMole применялась только в целевых атаках на высокопоставленные объекты (несколько десятков устройств), что позволяло избегать обнаружения на протяжении пяти лет.
InvisiMole имеет модульную архитектуру. Заражение начинается с модифицированной DLL, далее действуют два модуля – RC2FM и RC2CL, собирающие информацию о жертве.
Модуль RC2FM поддерживает 15 команд. В частности, он может удаленно включать микрофон, записывать аудио и многое другое.
Второй модуль, RC2CL, оснащен еще более широким списком инструментов шпионажа – 84 команды. Он способен передавать широкий спектр данных: системную и сетевую информацию, список установленных и используемых программ, недавно открытых документов и других интересующих файлов.
Вектор заражения InvisiMole пока не установлен. В настоящее время рассматриваются все варианты.