InvisiMole Adalah Spyware Kompleks Yang Dapat Mengambil Gambar

InvisiMole

Peneliti keamanan dari ESET telah menemukan sepotong rumit spyware yang digunakan dengan hemat dalam lima tahun terakhir untuk menginfeksi dan memata-matai sejumlah kecil target di Rusia dan Ukraina.

Sementara asal-usul strain malware baru ini – yang disebut InvisiMole – belum ditentukan, diyakini bahwa ini adalah alat spionase cyber yang canggih, kemungkinan besar diciptakan untuk peretas negara-negara atau keuangan-termotivasi.

Penilaian ini didasarkan pada fakta bahwa malware sangat jarang ditemukan, ditemukan pada “hanya beberapa lusin komputer,” tetapi juga karena spektrum kemampuannya yang luas, sesuatu yang akan memakan waktu berbulan-bulan jika tidak bertahun-tahun untuk berkembang, dan tentu bukan pekerjaan penjahat cyber slash-and-grab biasa Anda.

InvisiMole — dirancang untuk stealth dan pencurian
Kecuali file biner malware, sangat sedikit yang diketahui tentang siapa di belakangnya, bagaimana penyebarannya, atau jenis kampanye apa yang telah digunakan.

“Telemetri kami menunjukkan bahwa pelaku jahat di balik malware ini telah aktif setidaknya sejak 2013, namun alat spionase cyber tidak pernah dianalisis atau terdeteksi sampai ditemukan oleh produk ESET pada komputer yang dikompromikan di Ukraina dan Rusia,” kata peneliti ESET, Zuzana Hromcová, yang baru-baru ini menulis laporan mendalam tentang ancaman baru ini.

“Semua vektor infeksi mungkin, termasuk pemasangan yang difasilitasi oleh akses fisik ke mesin,” tambah Hromcová.

Khas untuk malware yang digunakan dalam serangan yang sangat ditargetkan, malware telah kehilangan sebagian besar petunjuk yang dapat mengarahkan peneliti kembali ke penulisnya. Dengan pengecualian satu file (dating to October 13, 2013), semua tanggal kompilasi telah dilucuti dan diganti dengan nol, memberikan sedikit petunjuk tentang waktu dan masa pakainya.

Terlebih lagi, malware itu adalah bagian dari pengkodean sendiri, karena ia terdiri dari dua modul, keduanya memiliki fitur mata-mata sendiri, tetapi juga dapat saling membantu dalam mengeksfusi data.

RC2FM — modul yang kurang mumpuni
Yang pertama dari modul utama InvisiMole disebut RC2FM. Ini yang terkecil dari keduanya dan hanya mendukung 15 perintah, menggabungkan fungsi untuk mengubah sistem lokal, tetapi juga mencari dan mencuri data.

Modul ini tidak semaju yang kedua, tetapi fitur paling baru yang dimilikinya adalah kemampuan untuk mengekstrak pengaturan proxy dari browser dan menggunakan konfigurasi tersebut untuk mengirim data download lagu lagi syantik ke perintah dan server kontrolnya jika pengaturan jaringan lokal mencegah modul berbicara ke server masternya.

Beberapa dari perintah modul ini memungkinkannya untuk menyalakan mikrofon pengguna, merekam audio, menyandikannya sebagai MP3 dan mengirimkannya ke server InvisiMole C & C.

RC2FM juga dapat mengaktifkan webcam pengguna dan mengambil screenshot. Ini juga dapat memonitor drive lokal, mengambil info sistem, dan membuat perubahan konfigurasi sistem.

RC2CL — modul serigala jahat yang besar
Modul InvisiMole kedua adalah yang paling maju dari keduanya. Yang satu ini mendukung 84 perintah backdoor dan mencakup hampir semua kemampuan yang Anda harapkan dari strain spyware lanjutan.

Ini termasuk dukungan untuk menjalankan perintah shell jarak jauh, manipulasi kunci registri, eksekusi file, mendapatkan daftar aplikasi lokal, memuat driver, mendapatkan informasi jaringan, menonaktifkan UAC, mematikan firewall Windows, dan banyak lagi. RC2CL juga dapat merekam audio melalui mikrofon dan mengambil screenshot melalui webcam — seperti modul pertama.

Tapi Hromcová mengatakan modul itu juga memiliki beberapa fitur unik. Salah satunya adalah kemampuan untuk menghapus file sendiri aman setelah pengumpulan data telah terjadi. Langkah ini diambil untuk mencegah alat forensik mendeteksi file bayangan di disk, dan mencari tahu apa yang mungkin telah dikumpulkan dan dikirim oleh malware ke server C & C-nya.

Fitur unik lainnya adalah kemampuan RC2CL untuk mengubah dirinya menjadi proxy dan memfasilitasi komunikasi antara modul pertama dan server C & C penyerang. Ini agak unik, karena perilaku ini belum terlihat pada strain lain.

Secara keseluruhan, ini adalah alat yang jahat, yang jelas merupakan alat spionase cyber yang sangat kuat, dan mungkin salah satu yang terbaik.

Sumber : duniamp3