- A+
一组研究人员发现了隐藏恶意软件的新方法
一家网络安全公司的调查人员报告发现了一种新的恶意软件样本,它能够检索由恶意行为者控制的Twitter帐户中发布的模因命令。 由于这一程序,攻击者很难检测到与恶意软件相关的流量,使其被检测为合法的Twitter流量,正如国际网络安全研究所的信息安全专家所提到的那样。
利用合法的Web服务来控制恶意软件的想法并不是什么新鲜事; 在过去的机会中,一些黑客通过Gmail,Dropbox,PasteBin甚至Twitter等平台控制恶意代码。
但是,这个时间有点不同。 网络安全专家发现的恶意软件使用隐写术(一种以观察者看不到的方式隐藏数字图形图像中的内容的技术)来隐藏嵌入在Twitter上的图像中嵌入的命令(在这种情况下是模因)。
“这个被识别为TROJAN.MSIL.BERBOMTHUM.AA的木马显示出有趣的行为,因为恶意软件命令是通过合法的Twitter流量接收的,并使用无害的模因,除非从平台中删除发布的帐户,否则无法删除”,提及网络安全专家的报告。
Twitter通讯团队报告说它在去年12月13日关闭了恶意帐户。
攻击者将命令/打印隐藏在模因中,这使得他们可以截取受感染机器的屏幕截图,并将它们发送到命令和控制服务器,其服务器的地址是通过PasteBin编码的URL获得的。
此外, BERBOMTHUM恶意软件会审查攻击者使用的Twitter帐户并下载和分析meme文件并提取它们包含的命令。 攻击者使用的Twitter帐户创建于2017年,仅包含两个模因,这些模因于10月25日和26日发布。这些图像用于将/ print命令发送到BERBOMTHUM恶意软件。
攻击者使用的命令及其任务是:
· / print - 执行屏幕截图
· / processos - 检索正在运行的进程列表
· / clip - 捕获剪贴板的内容
· / username - 从受感染的计算机中检索用户名
· / docs - 从预定义路径中检索文件名
根据网络安全专家的说法,这种恶意软件处于发展的早期阶段,因此未来不会丢弃更多类似的事件。
