攻击者通过隐藏在 Twitter 上的 meme 中的命令来控制恶意软件

Trend Micro 的安全研究人员近期发现了一种新的恶意软件,它会从攻击者控制的 Twitter 账户上所发布的 meme 中检索黑客所发布的命令。这种命令下发方式加大了恶意软件相关的流量的检测难度,因为在这种情况下,这些恶意软件流量看起来是合法的 Twitter 流量。

使用合法的 Web 服务来控制恶意软件并不是头一回,过去的也曾有黑客使用合法的网络服务,例如 Gmail、DropBox、PasteBin 以及 Twitter 来控制恶意软件。

而此次,Trend Micro 发现黑客利用了隐写术将发送给恶意软件的命令隐藏在 Twitter 上的 meme 中。

“这种新的安全威胁(标记为 TROJAN.MSIL.BERBOMTHUM.AA)是值得人们关注,因为恶意软件是通过合法的服务(流行的社交网络平台)接收的命令的,黑客往帐号上传了一个看起来无害但包含恶意代码的 meme,除非封禁这个恶意帐户,否则它就一直生效。”Trend Micro 发布的报告说道。

“截至2018年12月13日,Twitter已经下线这个帐户。”

攻击者将“/print”命令隐藏在 memes 中,该命令是让恶意软件截取受控制的机器的截图,并将其发送回 C&C 服务器,服务器的地址是通过http://pastebin.com网站上的一个硬编码 URL 获得的。

BERBOMTHUM 恶意软件会下载攻击者指定的 Twitter 帐户的内容,扫描 meme 文件,并提取其中包含的命令。

这个黑客使用的 Twitter 账户创建于2017年,分别在10月25日和26日发布了两个 meme,用于向恶意软件传递“/print”命令。

根据 Trend Micro 的说法,该恶意软件正处于早期开发阶段,其中 Pastebin 论坛上存放的链接是指向本地。

Security researchers said they’ve found a new kind of malware that takes its instructions from code hidden in memes posted to Twitter. The researchers said that memes uploaded to the Twitter page could have included other commands, like “/processos” to retrieve a list of running apps and processes, “/clip” to steal the contents of a user’s clipboard and “/docs” to retrieve filenames from specific folders.

广告

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据