نرمافزار جاسوسی InvisiMole بسیار هوشمندانه، تصاویر و صدای قربانیان را ضبط میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان امنیتی یک نمونه پیچیده از نرمافزارهای جاسوسی را کشف کردهاند که در پنج سال گذشته بهشدت مورد استفاده هکرها و خرابکاران قرار گرفته و تعداد زیادی از اهداف موردنظر خرابکاران را در روسیه و اوکراین آلوده کردهاست.
درحالیکه منشأ این حمله و خرابکاری جدید به نام InvisiMole هنوز تعیین نشدهاست، اعتقاد بر این است که یک ابزار پیشرفته جاسوسی سایبری است و بهاحتمال زیاد طبق شواهد بهدستآمده برای دولتهای ملی یا با هدف حمله به زیرساختهای مالی این کشورها ایجاد شدهاست.
واقعیتی که در بررسیهای میدانی در این مورد بهدست آمده نشاندهنده این است که فعالیت این برنامه مخرب بهصورت کاملاً مخفیانه انجام میگیرد که بهصورت محدود در فقط چند رایانه آلوده یافت شدهاست، اما این برنامه مخرب بهدلیل قابلیتهای وسیعی که دارد و بعد از ورود به رایانه قربانی چندماه طول میکشد تا خود را توسعه دهد و کشف آن کاری غیرعادی بوده و توسط افراد مبتدی قابلکشف نیست.
بهجز چند پرونده که بهصورت باینری یا دودویی در این خصوص کشفشده اطلاعات خاصی در خصوص کمپین، نحوه انتشار و افراد پشت پرده این بدافزار اطلاعات دیگری در دست نیست.
یک محقق شرکت آنتیویروس ESET که اخیراً گزارش کاملی درباره این بدافزار جدید نوشته میگوید: بررسیهای ما نشان میدهد که بازیگران و افراد خرابکار پشت پرده این بدافزار مخرب حداقل از سال ۲۰۱۳ بر روی این پروژه کارکردهاند تا زمانی که آخرین بهروزرسانیهای آنتیویروس ESET برروی کامپیوترهای آلوده در اوکراین و روسیه قرار دادهنشود هرگز ردی از این بدافزار یافت نمیشد.
سوزانا هرامکوا همچنین اضافه کرد: همه بردها و دستگاههای متصل به رایانه آلوده در معرض خطر این بدافزار قرار دارند، نصب، راهاندازی و دسترسی فیزیکی به دستگاه آلوده امکان انتشار بدافزار را تسهیل میکند.
بدافزارهای معمولی که در حملات بسیار هدفمند در این مورد خاص استفادهشدهاند از بسیاری از سرنخهایی که میتواند محققان را به سمت طراحان و افراد پشت پرده هدایت کند، مخفی بوده و در خفا فعالیت میکنند. بر اساس اطلاعات سایت پلیس فتا بهاستثنای یک پرونده (۱۳ اکتبر ۲۰۱۳)، تمام تاریخهای تدوینشده توسط بدافزار حذفشده و یا با صفر جایگزین شدهاند، سرنخهای کمی در مورد زمانبندی و طول عمر آن ارائه شدهاست.
علاوهبر این، نرمافزارهای مخرب جزئی از برنامهنویسی هوشمندانه خود هستند و از دو بخش کاملاً مجزا تشکیل شدهاند که هر دو قسمت ویژگیهای جاسوسی خاص خود را دارند، اما میتوانند با کمک هم فایلهای exfiltrating را ایجاد کنند.
اولین ماژول اصلی در این بدافزار InvisiMole RC2FM نامیدهمیشود. این ماژول کوچکترین بوده و تنها ۱۵ دستور را پشتیبانی میکند که این دستورات ترکیبی از توابع برای تغییر سیستم محلی هستند که برای جستوجو و سرقت دادهها مورد استفاده قرار میگیرند.
این ماژول بهعنوان دومین ماژول پیشرفته مورد استفاده قرار گرفته که جدیدترین ویژگی آن دارای توانایی استخراج تنظیمات پروکسی از مرورگرها و استفاده از آن تنظیمات برای ارسال دادهها و کنترل سرور خود وبسایت و با تنظیم شبکه محلی مانع از ارتباط بین ماژول کاربر و سرور اصلی میشود.
بعضی از دستورات این ماژول به بدافزار این امکان را میدهد تا میکروفون کاربر را روشن کند، صدای او را ضبط کند و آن را بهعنوان یک فایل صوتی با فرمت MP۳ ذخیره و آن را به سرور InvisiMole C & C ارسال کند.
ماژول RC۲FM همچنین میتواند وبکم کاربر را فعال کند و از محیط اطراف فیلم و عکس تهیه کند. همچنین میتواند درایوهای محلی را نظارت کند، اطلاعات سیستم را بازیابی کند و تغییرات پیکربندی سیستم کاربر را کنترل کند.
دومین ماژول بدافزار InvisiMole پیشرفتهتر از انواع قبلی است. این ماژول از ۸۴ دستور backdoor پشتیبانی میکند و شامل تقریباً تمام قابلیتهایی است که شما از یک بدافزار جاسوسی پیشرفته انتظار دارید.
این ماژول شامل پشتیبانی از اجرای دستورات پوسته سیستمعامل از راه دور است که شامل دستکاری کلیدی رجیستری، اجرای فایلهای اجرایی، گرفتن فهرستی از برنامههای محلی، بارگیری درایورها، گرفتن اطلاعات شبکه رایانه قربانی، غیرفعال کردن UAC، خاموش کردن فایروال ویندوز و غیره است. RC۲CL همچنین میتواند از طریق میکروفون صدا را ضبط کند و از طریق وب کم عکسها را مشاهده کند، درست مانند ماژول اول.
به گفته سوزانا هرامکوا، این ماژول دارای برخی از ویژگیهای منحصربهفرد است. یکی از اینها قابلیت ذخیره فایلهای خود پس از جمعآوری دادههاست.
این مرحله برای جلوگیری از دسترسی ابزارهای قانونی مانند آنتیویروسها و دیوارهای آتش ویندوز (فایروالها) برای شناسایی فایلهای کپی بر روی دیسک است و بدافزار بعد از جمعآوری آنها را به سرور C & C ارسال میکند.
یکی دیگر از ویژگیهای منحصربهفرد این بدافزار، توانایی RC2CL است که میتواند خود را به یک پروکسی تبدیل کند و ارتباطات بین اولین ماژول و سرور C & C مهاجم را تسهیل کند. این یک ویژگی منحصربهفرد این بدافزار جاسوسی است، زیرا این قابلیت در بدافزارهای دیگر بسیار کم و بهصورت محدود تعبیهشده است. در کل، شما با یک بدافزار بسیار هوشمند و پیچیده روبهرو هستید که بهوضوح یک ابزار قدرتمند جاسوسی سایبری است و احتمالاً یکی از بهترینها در حال حاضر است.