محققان امنیتی شرکت ESET بدافزار InvisiMole را کشف کردهاند: یک نرم افزار جاسوسی که حداقل از سال ۲۰۱۳ فعال بوده است. این شرکت محصولات امنیتی اخیرا آن را در روسیه و اوکراین شناسایی کرده است.
همانطور که از اسمش مشخص است، InvisiMole پنهان باقی میماند و اقدامات بسیار هدفمند را با نسبت آلودگی پایین انجام میدهد. محتوای مخرب این نرم افزار کامپیوتر را به یک دوربین ویدئویی جاسوسی تبدیل میکند تا فعالیتهای قربانی را به دقت نظارت کند.
قابلیتهای آن نیز شامل بازرسی کامپیوتر برای اطلاعات سیستم، خدمات در حال اجرا، فرآیندهای فعال، اطلاعات شبکه، اسکن شبکههای بی سیم، ردیابی موقعیت جغرافیایی، نظارت بر درایوهای خاص و غیره است. تمام این وظایف با استفاده از ماژولهای RC2FM و RC2CL انجام میشود.
کار این نرم افزار جاسوسی را میتوان با استفاده از معماری ماژولار آن توضیح داد. اولین ماژول یک پوشه DLL است که باعث میشود بدافزاری مانند فایل مشروع DLL باشد. بدافزار میتواند با دستکاری یک DLL و بارگذاری ماژول بسته بندی در به جای DLL مشروع طی فرآیند راه اندازی ویندوز اجرا شود.
به غیر از ربودن، این نرم افزار مخرب همچنین سایر روشهای بارگیری و استقامت، از جمله نصب یک کلید رجیستری و برنامه ریزی یک وظیفه را به کار میگیرند.
مهم نیست که با کدام روش ماندگاری این نرم افزار جاسوسی سازگار شود، حملات واقعی یکسان باقی میماند. سرانجام، پس از اتصال به سرور فرمان و کنترل آن، دادههای اضافی برای انجام اقدامات پشت سر هم دانلود میشوند.
InvisiMole فایلهای داخلی خود، رشتهها، ارتباطات شبکه و دادههای پیکربندی را مخفی نگه میدارد.
شما میتوانید تجزیه و تحلیل کامل نرم افزار جاسوسی InvisiMole را در وبلاگ ESET بخوانید و اطلاعات بیشتری در مورد این بدافزار هک بدست بیاورید.
نظرات