Foto: Getty
In een indrukwekkende beetje cyber-speurwerk, veiligheid onderzoekers hebben ontdekt dat een vervelende stuk van malware werd getest door een russisch-sprekende hacker groep en het was behulp van de commentaar sectie van Britney Spears ‘ s Instagram als een manier om thuis te noemen.
Turla is een hacken van de groep die is gespecialiseerd in het gebruik van malware voor de toepassing van spionage. De mooie naam voor het collectief is een geavanceerde persistente dreiging groep. Onderzoekers van ESET melden dat ze een onlangs ontdekt trojaans paard die lijkt te zijn gemaakt door de groep, maar dat het nog niet is ingezet op een brede schaal nog.
De malware zelf niet echt mindblowing. Het maakt gebruik van een Firefox-extensie voor het maken van een backdoor dat geeft een aanvaller volledige toegang tot een doel van de computer. De onderzoekers geloven dat het zou een aanpassing van de Fopspeen APT die werd verspreid via de Microsoft Word-documenten weer in 2016.
Turla is bekend dat het gebruik van de “waterpoelen” of besmette sites die hun doelen zijn waarschijnlijk om te bezoeken voor het verspreiden van de malware. Deze bijzondere trojan werd ontdekt op een Zwitserse beveiliging van de website van het bedrijf. Bezoekers van de site zou worden gevraagd om de extensie te installeren met de goedaardige naam “HTML5-Encoder.”
Maar de echte innovatie, in dit geval, is het de hackers gebruik van sociale media om contact met hun malware ‘ s command and control (C&C) – servers. Deze servers instructies sturen en fungeren als een opslagplaats voor gestolen informatie. Met behulp van een gecodeerd gecodeerd reactie op Britney Spears Instagram post, de malware kon vinden uit welke URL te gebruiken om kennis te maken met de server zonder daadwerkelijk die informatie op te nemen in de code van de malware zelf.
De malware is gericht om te bladeren door de reacties op Spears ‘s foto’ s en zoeken naar een die had een specifieke hash-waarde. Zoals u kunt zien, is de opmerking in kwestie is niet echt een normale post, maar het gaat als basis spam en niemand zou geven het een tweede gedachte. Maar als u het kopiëren en plakken, zult u merken dat het gebruik van de Unicode-teken 200d en het kijkt als dit: smith2155< 200d >#2hot ma< 200d >ke lovei< 200d >d < 200d >heh,< 200d >uupss< 200d >#Hot< 200d >#X. Wanneer de malware vindt de reactie was verteld om te kijken voor, zet het in dit Bitly link: http://bit.ly/2kdhuHX. De verkorte link leidt naar een site die bekend staat om een Turla waterpoel. Dit is een slinkse manier om ervoor te zorgen dat de C&C kan worden gewijzigd zonder dat u de malware. Als de aanvallers wilt u een nieuwe meetup, ze moeten gewoon om de reactie te verwijderen en in een nieuwe met dezelfde hash-waarde.
ESET in contact is geweest met de Firefox-ontwikkelaars en dat ze momenteel werken aan een oplossing zodat de uitbreiding niet meer werken. En Miss Spears zal waarschijnlijk nooit te weten dat haar foto kwam dicht om te worden gebruikt in de internationale spionage.
[WeLiveSecurity via Bleeping Computer]