Foto: Getty
In einem beeindruckenden bisschen cyber-Detektivarbeit, Sicherheits-Forscher haben entdeckt, dass eine böse Stück malware getestet wurde von einer Russisch-sprachigen hacker-Gruppe, und es war, mit dem Kommentar-Abschnitt von Britney Spears ist Instagram, als eine Möglichkeit, zu Hause anzurufen.
Turla ist eine Hacker-Gruppe, spezialisiert auf die Verwendung von malware für die Zwecke der Spionage. Der ausgefallene name für das Kollektiv ist eine advanced persistent threat group. Die Forscher von ESET berichten, dass Sie haben vor kurzem entdeckt eine backdoor-Trojaner, der scheint, gewesen geschaffen durch die Gruppe, aber es wurde nicht eingesetzt, die auf einer breiten Skala noch.
Die malware selbst ist nicht besonders unfassbar. Es verwendet eine Firefox-Erweiterung zum erstellen einer backdoor, gibt einem Angreifer den kompletten Zugriff auf einen target-computer. Die Forscher glauben, könnte es eine Anpassung der Schnuller APT, die verbreitet sich über Microsoft Word-Dokumente wieder in 2016.
Turla bekannt ist, zu verwenden “Wasserstellen” oder manipulierten Webseiten, die auf Ihre Ziele und die sind wahrscheinlich zu besuchen, für die Verbreitung von malware. Diese Besondere Trojaner entdeckt wurde auf einem Schweizer Sicherheits-Unternehmens-website. Besucher der Website werden aufgefordert, installieren Sie die Erweiterung mit der gutartigen Namen “HTML5-Encoder.”
Aber die eigentliche innovation in diesem Fall ist die Hacker nutzen social media, um Kontakt zu den malware command and control (C&C) – Servern. Diese Server senden Anweisungen und fungiert als repository für gestohlene Informationen. Über eine verschlüsselte, codierte Kommentar über Britney Spears Instagram-post, der malware finden Sie heraus, welche URL zu verwenden, um sich mit dem server, ohne Sie tatsächlich darunter, dass die Informationen in den code der malware.
Die malware hatte, um einen Bildlauf durch die Kommentare auf Spears Fotos und Suche nach einer, der hatte einen bestimmten hash-Wert. Wie Sie sehen können, wird der Kommentar in Frage, ist nicht gerade ein normaler post, aber es geht so grundlegenden spam-und niemand würde es geben, einen zweiten Gedanken. Aber wenn Sie kopieren und einfügen, werden Sie feststellen, dass es verwendet das Unicode-Zeichen 200d und es sieht wie folgt aus: smith2155< 200d >#2hot ma< 200d >ke lovei< 200d >d < 200d >her,< 200d >uUSVs< 200d >#Hot< 200d >#X. Wenn die malware findet den Kommentar, es wurde gesagt, um zu sehen, wandelt es Sie in dieser Bitly-link: http://bit.ly/2kdhuHX. Der gekürzte link wird zu einer Website, die bekanntermaßen eine Turla Wasserstelle. Dies ist eine schleichende Weg, um sicherzustellen, dass die C&C können geändert werden, ohne dass änderungen der malware. Wenn die Angreifer möchten, erstellen Sie ein neues meetup, Sie einfach zu löschen, den Kommentar und setzen Sie eine neue mit der gleichen hash-Wert.
ESET wurde in Kontakt mit der Firefox-Entwickler, und Sie arbeiten derzeit an einem fix, so dass die Erweiterung nicht mehr funktioniert. Und Fräulein Spears wird wahrscheinlich nie wissen, dass Ihr Foto kam in die Nähe, im internationalen Spionage.
[WeLiveSecurity über Bleeping Computer]