Foto: Getty
I en imponerende bit av cyber-sleuthing, security forskere har oppdaget at en stygg stykke malware ble testet av et russisk-talende hacker-gruppen, og det var å bruke kommentarfeltet Britney Spears ‘ s Instagram som en måte å ringe hjem.
Turla er et hacker-gruppe som spesialiserer seg i å bruke malware for det formål å spionasje. Fancy navn for den kollektive er en avansert og vedvarende trussel gruppe. Forskere fra ESET rapporterer at de har nylig oppdaget en trojansk hest som ser ut til å ha blitt skapt av gruppen, men det har ikke vært utplassert på en bred skala ennå.
Malware selv er ikke spesielt storslagen. Den bruker en Firefox-utvidelse for å skape en bakdør som gir en angriper full tilgang til et mål datamaskin. Forskerne tror det kan være en tilpasning av Smokk APT som ble spredt via Microsoft Word-dokumenter tilbake i 2016.
Turla er kjent for å bruke “vannhull” eller kompromitterte nettsteder som deres mål er sannsynlig å besøke for å spre sin malware. Denne trojaneren ble oppdaget på en Sveitsisk sikkerhet selskapets hjemmeside. Besøkende til området vil bli bedt om å installere utvidelsen med godartet navnet “HTML5 Encoder.”
Men den virkelige innovasjon, i dette tilfellet, er hackere som bruker sosiale medier til å ta kontakt med sin malware er kommando og kontroll (C&C) servere. Disse serverne sende instruksjoner og fungere som et oppbevaringssted for stjålet informasjon. Ved hjelp av en kodet på kodet kommentar på Britney Spears Instagram post, malware kunne finne ut hva som URL for å bruke til å møte opp med serveren uten å faktisk inkludert informasjon i koden av malware selv.
Den skadelige programvaren ble instruert til å bla gjennom kommentarer på Spyd bilder, og søke etter en som hadde en bestemt hash-verdi. Som du kan se, kommentere på spørsmålet er ikke akkurat en normal innlegget, men det går som grunnleggende spam, og ingen vil gi det en tanke. Men hvis du kopiere og lime den, vil du finne at den bruker Unicode-tegn 200d og det ser ut som dette: smith2155< 200d >#2hot ma< 200d >ke lovei< 200d >d < 200d >heh,< 200d >uups-enheter< 200d >#Hot< 200d >#X. Når den skadelige programvaren finner kommentere det ble fortalt for å se etter, den konverterer det til denne Bitly link: http://bit.ly/2kdhuHX. Forkortet link løser til et område som er kjent for å være en Turla vannhullet. Dette er en snikende måte å sørge for at C&C kan endres uten å endre malware. Hvis angriperne ønsker å opprette en ny meetup, de bare nødt til å slette kommentaren og satt i en ny med samme hash-verdi.
ESET har vært i kontakt med Firefox utviklere og de jobber med en løsning, slik at utvidelsen vil ikke fungere lenger. Og Frøken Spears vil trolig aldri vite at hennes bilde kom i nærheten av å være brukt i internasjonal spionasje.
[WeLiveSecurity via Bleeping Computer]