InvisiMole Spyware可能是为网络间谍活动而开发的国家级恶意软件，也可能是一个财务集团的发展导致的结果。专家们目前还没有发现此恶意软件的威胁行为者。

什么是InvisiMole Spyware？

ESET的恶意软件研究人员发现了一种新的复杂的间谍软件——InvisiMole Spyware，一个强大的间谍软件之一。这种恶意软件背后的恶意行为至少自2013年以来一直处于活跃状态，然而，在发现乌克兰和俄罗斯的受感染计算机上的ESET产品之前，InvisiMole Spyware从未被分析和检测到。

此恶意软件能打开用户计算机的摄像头并录制视频、音频，窃听发生在受害者周围的一切，并可进行拍照。

此外，它还能够通过密切监视受害者的行为来窃取受害者计算机的各种敏感信息。

它包含2个恶意组件，并且都具有丰富的后门活动，它可以从目标机器上尽可能多地窃取和收集信息。

特别是它可以远程激活受感染计算机上的麦克风，并捕获声音和视频，用于不正当的途径。

InvisiMole Spyware是如何工作的

InvisiMole Spyware的模块化结构由一个封装DLL组成，该封装DLL利用嵌入其资源中的两个其他后门模块来执行其活动。

主要模块称为RC2FM并支持15个命令，允许攻击者从受感染的系统搜索和泄露数据。

RC2FM支持收集系统信息和对系统进行简单更改的命令，它还包括间谍软件功能，如控制麦克风和用户的网络摄像头。

第二个模块被称为RC2CL，比RC2FM更高级，它能够从浏览器中提取代理设置，并使用这些配置在代理服务器上向C＆C服务器发送数据。如果发送不成功，它也能够使用本地配置的代理与C2服务器连接。

RC2CL模块支持84个后门命令，并实现了几乎所有的间谍软件功能，包括运行远程shell命令、注册表项操作、文件执行、获取本地应用列表、加载驱动程序、获取网络信息、禁用UAC以及转向关闭Windows防火墙。此外，RC2CL还可以通过麦克风录制音频并通过网络摄像头截图。

RC2CL模块还实现了安全删除功能以避免被检测。

据研究人员称，InvisiMole Spyware的创造者已经删除了所有线索，他巧妙地将PE时间设置为零值，因此编译的确切时间是未知的。

据ESET称，在向C＆C服务器成功注册到受害者计算机之后，一些其他的数据会被下载，这些数据将在本地计算机上解释为后门命令。当发出命令时，所有收集的数据最终可以发送给攻击者。

InvisiMole Spyware还会监控映射到本地系统上的所有固定和可移动驱动器。无论何时插入新驱动器，它都会创建驱动器上所有文件的列表，并将其加密存储在文件中。