ESET нашла шпионскую программу, избегавшую обнаружения 5 лет
Как сообщает пресс-служба ESET, программа позволяет хакерам получить удаленный доступ к зараженному устройству, следить за действиями жертвы и перехватывать конфиденциальные данные. Кибергруппа, использующая InvisiMole, активна с 2013 года, но до настоящего времени программа не была изучена и не детектировалась. Предположительно, InvisiMole использовалась только в целевых атаках на высокопоставленные объекты (несколько десятков устройств), поэтому ее и не могли обнаружить на протяжении пяти лет.
Заражение устройства начинается с модифицированной DLL, затем действуют два модуля – RC2FM и RC2CL, которые собирают. Модуль RC2FM (15 команд) может удаленно включать микрофон, записывать аудио, делать снимки экрана, создавать списки файлов на встроенных и внешних дисках, а также передавать собранную информацию своим операторам. По команде он может внести изменения в систему.
Второй модуль, RC2CL, может выполнять 84 команды. Он передает злоумышленникам системную и сетевую информацию, список установленных и используемых программ, недавно открытых документов и других интересующих файлов, похищает файлы, выбранные атакующими. Также модуль позволяет удаленно включать веб-камеру и микрофон, делать снимки экрана и каждого открытого окна.
Пока специалисты не смогли установить вектор заражения InvisiMole. В настоящее время рассматриваются все варианты, включая установку вручную при наличии у злоумышленников физического доступа к компьютеру.