به گزارش مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات (افتا)، پژوهشگران امنیتی ESET بدافزاری را کشف کردهاند که در ۵ سال گذشته به شدت مورد استفاده قرار گرفته است؛ درحالی که ریشه این بدافزار جدید مشخص نشده، اما باورها بر این است که این بدافزار یک ابزار پیشرفته جاسوسی سایبری است که برای مقاصد ملی و مالی مورد استفاده قرار میگیرد.
این جاسوس افزار که InvisiMole نام گرفته، از سال ۲۰۱۳ فعال بوده است. به گفته پژوهشگران، این بدافزار از کدنویسی هوشمندانهای برخوردار بوده و از دو ماژول تشکیل شده است. هر دو ماژول دارای ویژگیهای جاسوسی اطلاعات هستند و به یکدیگر کمک میکنند تا اطلاعات را استخراج کنند.
ماژول نخست که RC۲FM نام دارد و پیچیدگی کمتری نسبت به ماژول دومی دارد، فقط از ۱۵ دستور پشتیبانی میکند و قابلیتهای ویرایش سیستم محلی و جستجو و سرقت اطلاعات را دارد. ویژگی بارز این ماژول، قابلیت آن در استخراج تنظیمات پراکسی از مرورگرها و استفاده از پیکربندی آنها و ارسال این اطلاعات به سرور C&C است.
سایر قابلیتهای این ماژول شامل روشن کردن میکروفون کاربر، ضبط صدا، تبدیل آن به فایل MP۳ و ارسال به سرور C&C است. همچنین این جاسوس افزار میتواند وبکم کاربر را روشن کند و از صفحه نمایش کاربر screenshot بگیرد.استخراج اطلاعات سیستمی و تغییرات در پیکربندی سیستم از سایر قابلیتهای آن است.
ماژول دوم که RC۲CL نام دارد، دارای قابلیتهای پیشرفتهای است که میتوان از یک جاسوس ابزار حرفهای، انتظار داشت. این ماژول حاوی ۸۴ دستور در پشتی است که میتواند دستورات shell را به صورت راه دور اجرا کند، کلیدهای رجیستری را تغییر دهد، فایل اجرا کند، لیست نرمافزارهای نصب شده را بدست آورد، درایورها را بارگذاری کند، اطلاعات شبکه را بدست آورد، UAC را غیر فعال کند، فایروال ویندوز را غیرفعال کند و غیره. این ماژول نیز مانند ماژول اول میتواند میکروفون کاربر را روشن کند و همچنین از صفحات عکس بگیرد.
از ویژگیهای منحصر به فرد این ماژول، قابلیت آن در حذف فایلها خود پس از جمعآوری اطلاعات به منظور مخفی ماندن از ابزارهای کشف بدافزار و ویروس است. ویژگی دیگر آن در تبدیل خود به یک پراکسی و تسهیل اتصالات با ماژول اول و سرور C&C مهاجم است.
- 13
- 5
