I ricercatori di sicurezza di ESET hanno scoperto InvisiMole: uno spyware che è stato attivo almeno dal 2013. I prodotti di sicurezza dell'azienda lo hanno recentemente rilevato in Russia e Ucraina.

Come suggerisce il nome, InvisiMole rimane nascosto e svolge azioni altamente mirate con un basso tasso di infezione. I componenti dannosi del malware trasformano il computer in una videocamera spia per monitorare da vicino le attività della vittima.

Le sue funzionalità comprendono anche l'ispezione del PC per informazioni di sistema, servizi in esecuzione, processi attivi, informazioni di rete, scansione di reti wireless, localizzazione geografica, monitoraggio di unità specifiche, ecc. Tutti questi compiti vengono eseguiti utilizzando i moduli componenti RC2FM e RC2CL.

Il funzionamento di questo spyware può essere spiegato utilizzando la sua architettura modulare. Il primo modulo è una DLL wrapper che rende il malware simile a un file DLL legittimo. Il malware può essere avviato mediante il dirottamento di una DLL e il caricamento del modulo wrapper durante il processo di avvio di Windows invece della legittima DLL.

Oltre al dirottamento, il malware utilizza anche altri metodi di caricamento e persistenza, tra cui l'installazione di una chiave di registro e la pianificazione di un'attività.

Indipendentemente dal metodo di persistenza adottato da questo spyware, il payload dell'attacco effettivo rimane lo stesso. Infine, dopo essersi connesso al suo server di comando e controllo, vengono scaricati dati aggiuntivi per eseguire le azioni backdoor.

InvisiMole crittografa i suoi file interni, stringhe, comunicazioni di rete e dati di configurazione per rimanere nascosto.

Puoi leggere l'analisi tecnica completa dello spyware InvisiMole sul blog di ESET e conoscere meglio questo famigerato strumento di hacking.

Lavorato Per Voi: Robert Gaines & George Fleming | Vuoi Contattarci?

Commenti Sul Sito: