Новую вредоносную программу, которая используется для кибершпионажа, обнаружили специалисты ESET на компьютерах россиян, сообщает PRIMPRESS.
InvisiMole открывает атакующим удаленный доступ к зараженному устройству, позволяет следить за действиями жертвы и перехватывать конфиденциальные данные. Программа активна с 2013 года и применялась только в целевых атаках на высокопоставленные объекты (несколько десятков устройств), что позволяло избегать обнаружения на протяжении пяти лет.
Заражение компьютера жертвы начинается с модифицированной DLL, далее действуют два модуля – RC2FM и RC2CL, собирающие информацию о пользователе. Модуль RC2FM поддерживает 15 команд. В частности, он может удаленно включать микрофон, записывать аудио, делать снимки экрана, создавать списки файлов на встроенных и внешних дисках, а также передавать собранную информацию своим операторам. Получив соответствующую команду, модуль может вносить изменения в систему.
Второй модуль, RC2CL, оснащен еще более широким списком инструментов шпионажа – 84 команды. Он изучает зараженный компьютер и передает атакующим исчерпывающие данные: системную и сетевую информацию, список установленных и используемых программ, недавно открытых документов и других интересующих файлов. Операторы InvisiMole могут удаленно включать веб-камеру и микрофон, делать снимки экрана и каждого открытого окна.
Вектор заражения InvisiMole пока не установлен. В настоящее время рассматриваются все варианты, включая установку вручную при наличии у злоумышленников физического доступа к компьютеру.
