資安業者ESET發現一個專業的間諜惡意程式InvisiMole,由於高針對性因此受感染的電腦數量很少,但是精密的設計令研究人員驚訝,除了能夠監視被害者的電腦行為之外,還能偷偷啟用攝影機以及麥克風窺探使用者,其模組化的設計會視情況啟用需要的功能,檔案與傳輸都以加密保護,最早版本在2013年就已經存在。

InvisiMole惡意程式針對性很高,只有幾十臺的電腦受影響,防毒軟體ESET也只在俄羅斯以及烏克蘭發現他的行蹤。InvisiMole可以接收駭客遠端操控,執行的動作端看接收到的指令,其具備常見的後門程式行為,像是檔案系統操作、檔案執行、註冊表冊操作或遠端殼層啟動是基本的功能,還能檢查系統資訊,或是掃描使用者電腦的Wi-Fi廣播訊息,紀錄SSID以及MAC位置,並會與公共資料庫比對後,了解受害者的出入場所以及地理位置。

InvisiMole對於使用者的喜好極感興趣,會記錄電腦安裝的應用程式,或是哪些程式會在電腦啟動時自動載入,用戶習慣使用的軟體等資訊,並監視使用者最近開啟的文件檔案,監控特定目錄以隨時回傳需要的文件。最令人不安的是,InvisiMole可以對使用者的電腦進行螢幕截圖,該功能細緻到可以對每個視窗分開截圖,而且在必要的時候,還會開啟攝影機與麥克風窺探受害者。

這個惡意軟體主要有兩個模組組成,分別是RC2FM與RC2CL,這兩個模組不會同時啟動,後者只會在前者偵查過後,確認該受害者為感興趣對象,才會被啟動執行進一步動作。ESET無法確定惡意軟體被編譯的時間,因為該資訊被刻意抹除,只知道檔案最早PE時間戳記是2013年10月。

RC2FM是一個封裝的DLL檔案,由Free Pascal Compiler編譯而成,這個檔案被放置在Windows文件夾中,偽裝成正常的函式庫檔案,透過劫持DLL,在Windows啟動時會被載入到資源管理器程序當中。ESET發現這個DLL檔案有32與64位元版本,以確保在任何受害者環境都能正確執行。RC2FM具有連線功能以及錄製聲音製作成MP3檔案的功能,並在必要時接受駭客的遠端操控,RC2FM共支援15種命令。

而RC2CL是比較龐大的模組,提供84種遠端指令,主要的間諜功能都由他負責,ESET提到,RC2CL在特殊情況會停止後門功能,並同時關閉Windows的防火牆,把自己轉為中繼站幫助C&C伺服器與其他客戶端連線。InvisiMole的作者非常小心,所有的網路傳輸資訊以及被害者電腦收集到的暫存檔案,也都會進行加密處理,避開系統的掃描。

ESET認為,InvisiMole是功能齊全的間諜軟體,其豐富功能與其他專業的間諜軟體不相上下,針對感興趣的用戶至少已經監控長達5年的時間。


Advertisement

更多 iThome相關內容