ESET выявила новую шпионскую программу InvisiMole, которая распространена в России и Украине в течение последних 5 лет. Её принцип работы заключается в том, что она открывает удалённый доступ к зараженному устройству, следит за действиями пользователя и перехватывает персональные данные.
Невзирая на активную деятельность кибергруппы, которая использовала InvisiMole с 2013 года, ПО было обнаружено только недавно. Долгое время оставаться незамеченной антивирусами программе удавалось, как предполагают эксперты ESET, за счёт её использования только в точечных атаках на высокопоставленные объекты, число которых — не более 50.
Компьютер заражался вирусом с помощью измененной DLL, после чего в нём запускались RC2FM и RC2CL, собирающие о своей жертве все необходимые преступникам данные.
В запасе модуля RC2FM – поддержка 15 функций, таких как управление микрофоном и веб-камерой, звукозапись, скрины экрана, создание списков файлов, передача полученных данных на сервер своих администраторов. После получения нужной команды модуль может вносить изменения в систему.
RC2CL может выполнять 84 шпионские команды. Например, изучение атакованного ПК и отправка хакерам данных, касающихся сетевых и системных файлов, перечня установленных и запущенных программ, списка открытых файлов и так далее.