InvisiMole открывает удаленный доступ к зараженному устройству, следит за действиями жертвы и перехватывать конфиденциальные данные.
Кибергруппа, использующая InvisiMole, работает с 2013 года. Тем не менее вредоносная программа не была изучена и не детектировалась до момента обнаружения продуктами ESET на зараженных компьютерах в России и Украине. InvisiMole предположительно применялась только в целевых атаках на высокопоставленные объекты (несколько десятков устройств), что позволяло избегать обнаружения на протяжении пяти лет.
InvisiMole имеет модульную архитектуру. Заражение начинается с модифицированной DLL, далее действуют два модуля – RC2FM и RC2CL, собирающие информацию о жертве.
Модуль RC2FM поддерживает 15 команд. Он может удаленно включать микрофон, записывать аудио, делать снимки экрана, создавать списки файлов на встроенных и внешних дисках и передавать собранную информацию операторам. Получив соответствующую команду, модуль может вносить изменения в систему.
Второй модуль, RC2CL, оснащен еще более широким списком инструментов шпионажа – 84 команды. Он изучает зараженный компьютер и передает атакующим исчерпывающие данные: системную и сетевую информацию, список установленных и используемых программ, недавно открытых документов и других интересующих файлов. Операторы InvisiMole могут удаленно включать веб-камеру и микрофон, делать снимки экрана и каждого открытого окна. Спайварь позволяет просматривать определенные директории и внешние устройства, отслеживать изменения документов и извлекать выбранные файлы.
Вектор заражения InvisiMole пока не установлен. Рассматриваются все варианты, включая установку вручную при наличии у злоумышленников физического доступа к компьютеру.