Para peneliti keamanan ESET telah menemukan InvisiMole : spyware yang aktif setidaknya sejak 2013. Produk keamanan perusahaan baru-baru ini mendeteksi di Rusia dan Ukraina.
Seperti namanya, InvisiMole tetap tersembunyi dan melakukan tindakan yang sangat bertarget dengan rasio infeksi yang rendah. Komponen berbahaya dari malware mengubah komputer menjadi kamera menjadi video mata-mata untuk memonitor aktivitas korban.
Kemampuannya termasuk memeriksa PC untuk informasi sistem, menjalankan layanan, proses aktif, informasi jaringan, memindai jaringan nirkabel, melacak geolokasi, memantau drive tertentu, dll. Semua tugas ini dilakukan menggunakan modul komponen – RC2FM dan RC2CL.
Kerja spyware ini dapat dijelaskan menggunakan arsitektur modularnya. Modul pertama adalah wrapper DLL yang membuat malware terlihat seperti file DLL yang sah. Malware dapat dijalankan dengan membajak DLL dan memuat modul paket saat proses startup Windows, bukan DLL yang sah.
Selain dari injek, malware juga menggunakan metode loading and persistensi lainnya, termasuk memasang kunci registri dan penjadwalan tugas.
Tidak peduli metode persistensi apa yang diadopsi oleh spyware ini, payload serangan yang sebenarnya tetap sama. Akhirnya, terhubung ke server perintah & kontrolnya, data tambahan diunduh untuk melakukan tindakan backdoor.
InvisiMole mengenkripsi file internal, string, komunikasi jaringan, dan data konfigurasi untuk tetap tersembunyi.
Anda dapat membaca analisis teknis lengkap spyware InvisiMole di blog ESET dan mengenal lebih detail tentang tool peretasan yang terkenal ini.
Leave a Reply
Your email address will not be published. Required fields are marked *