113 views

新的恶意软件从Memes发出命令在Twitter上发布

By | 2019年1月14日

安全研究人员发现了另一个例子,说明网络犯罪分子如何通过使用合法的基于云的服务将其恶意软件活动伪装成常规流量。
趋势科技研究人员发现了一种新的恶意软件,它可以从发布在攻击者控制的Twitter帐户上的模因中检索命令。
大多数恶意软件依赖于与其命令和控制服务器的通信,以接收来自攻击者的指令并在受感染的计算机上执行各种任务。
由于安全工具会密切关注网络流量以检测恶意IP地址,因此攻击者越来越多地使用合法网站和服务器作为攻击中的基础架构,以使恶意软件更难以检测。

根据研究人员处于早期阶段的最新发现的恶意方案,黑客使用隐写技术 – 一种隐藏数字图形图像内容的技术,以观察者看不到的方式 – 隐藏嵌入的恶意命令在Twitter上发布的一个模因,恶意软件然后解析并执行。
虽然互联网模因看起来是人眼的正常形象,但命令“/ print”隐藏在文件的元数据中,然后提示恶意软件将受感染计算机的屏幕截图发送到远程命令和控制服务器。

在这里,研究人员命名为“TROJAN.MSIL.BERBOMTHUM.AA”的恶意软件旨在检查攻击者的Twitter帐户,然后下载并扫描meme(图像)文件以获取秘密命令。

根据趋势科技的研究人员的说法,有问题的Twitter帐户创建于2017年,仅包含10月25日和26日发布的两个模因,它们向指示其截取屏幕截图的恶意软件发送了“/ print”命令。
恶意软件然后将屏幕截图发送到命令和控制服务器,其地址通过Pastebin站点上的“硬编码”URL获得。

除了截取屏幕截图外,还可以为恶意软件提供各种其他命令,例如检索正在运行的进程列表,获取登录用户的帐户名,从受感染计算机上的特定目录中获取文件名,以及获取转储用户的剪贴板
恶意软件似乎处于开发的早期阶段,因为pastebin链接指向本地私有IP地址,“这可能是攻击者使用的临时占位符”。
值得注意的是,恶意软件并未从Twitter本身下载,研究人员目前还没有找到攻击者使用或使用哪种特定机制将恶意软件传递给受害者的计算机。
好消息是,用于传递恶意模因的Twitter帐户似乎已被禁用,但目前尚不清楚这个恶意软件背后是谁以及神秘黑客如何传播恶意软件。

发表评论

电子邮件地址不会被公开。 必填项已用*标注