Foto: Getty
I en imponerende smule af cyber-detektivevner, sikkerhed forskere har opdaget, at er en grim stykke malware, der blev testet af en russisk-talende hacker-gruppen, og det var ved hjælp af kommentar-sektionen af Britney Spears ‘ s Instagram som en måde til at ringe hjem.
Turla er en ubehagelig gruppe, der har specialiseret sig i ved hjælp af malware til de formål, for spionage. Det fancy navn for den kollektive en advanced persistent threat gruppe. Forskere fra ESET rapporterer, at de har for nylig opdaget en backdoor trojan, der synes at have været skabt af gruppen, men det har ikke været indsat på en bred skala endnu.
Den malware i sig selv er ikke særlig mindblowing. Det bruger en Firefox extension til at skabe en bagdør, der giver angriberen fuld adgang til target ‘ s computer. Forskerne mener, at det kunne være en tilpasning af Sutten APT, der blev spredt via Microsoft Word-dokumenter tilbage i 2016.
Turla er kendt for at bruge “vandhuller”, eller kompromitterede websteder, at deres mål er tilbøjelige til at besøge for at distribuere sin malware. Denne særlige trojan blev opdaget på en Schweizisk sikkerhed selskabets hjemmeside. Besøgende til webstedet vil blive bedt om at installere en udvidelse med det gode navn “HTML5 Encoder.”
Men den virkelige innovation, i dette tilfælde, er de hackere, der bruger sociale medier til at kontakte deres malware er kommando og kontrol (C&C) – servere. Disse servere sender instruktioner, og fungerer som et depot for stjålne oplysninger. Ved hjælp af en kodet kodet kommentar om Britney Spears Instagram indlæg, malware kunne finde ud af, hvilken URL-adresse til brug for at mødes med den server, uden at der faktisk herunder at oplysninger i koden for malware i sig selv.
Den malware var rettet mod at rulle gennem kommentarer på Spyd billeder og søg efter en, der havde en bestemt hash-værdi. Som du kan se, kommentere spørgsmålet er ikke ligefrem et normalt indlæg, men det går som grundlæggende spam og ingen ville give det en anden tanke. Men hvis du kopiere og indsætte det, du vil finde, at det bruger Unicode-tegn 200d og det ser ud som dette: smith2155< 200d >#2hot ma< 200d >ke lövei< 200d >d < 200d >her,< 200d >uupss< 200d >#Hot< 200d >#X. Når malware finder den kommentar, at det var bedt om at kigge efter, det konverterer det til denne Bitly link: http://bit.ly/2kdhuHX. Den forkortede link henviser til et websted, der er kendt for at være en Turla vandhul. Dette er en snigende måde at sikre, at C&C kan ændres, uden at skulle ændre malware. Hvis angriberne ønsker at oprette en ny meetup, de bare nødt til at slette kommentar og sættes i en ny med samme hash-værdi.
ESET har været i kontakt med Firefox udviklerne og de leder i øjeblikket arbejder på en rettelse, så at udvidelsen ikke vil arbejde længere. Og Miss Spears vil sandsynligvis aldrig vide, at hendes billede var tæt på at blive brugt i international spionage.
[WeLiveSecurity via Bleeping Computer]