这是一种新发现的恶意软件控制方式。

Trend Micro的安全研究人员近期发现了一种新的恶意软件,它会从攻击者控制的Twitter账户上所发布的meme(模因,也可以称为梗)中检索黑客所发布的命令。这种命令下发方式加大了恶意软件相关的流量的检测难度,因为在这种情况下,这些恶意软件流量看起来是合法的Twitter流量。

使用合法的Web服务来控制恶意软件并不是头一回,过去的也曾有黑客使用合法的网络服务,例如Gmail、DropBox、PasteBin以及Twitter来控制恶意软件。

而此次,Trend Micro发现黑客利用了隐写术将发送给恶意软件的命令隐藏在Twitter上的meme中。

“这种新的安全威胁(标记为TROJAN.MSIL.BERBOMTHUM.AA)是值得人们关注,因为恶意软件是通过合法的服务(流行的社交网络平台)接收的命令的,黑客往帐号上传了一个看起来无害但包含恶意代码的meme,除非封禁这个恶意帐户,否则它就一直生效。”Trend Micro发布的报告说道。

“截至2018年12月13日,Twitter已经下线这个帐户。”

攻击者将“/print”命令隐藏在memes中,该命令是让恶意软件截取受控制的机器的截图,并将其发送回C&C服务器,服务器的地址是通过pastebin.com网站上的一个硬编码URL获得的。

BERBOMTHUM恶意软件会下载攻击者指定的Twitter帐户的内容,扫描meme文件,并提取其中包含的命令。

这个黑客使用的Twitter账户创建于2017年,分别在10月25日和26日发布了两个meme,用于向恶意软件传递“/print”命令。

33.png

在恶意软件支持的命令列表如下:

命令描述                  描述

/print                  屏幕截图

/processos          检索正在运行的进程的列表

/clip                  捕捉剪贴板内容

/username            从受控制机器上的用户名

/docs        从预定义的路径检索文件名,例如(桌面,%AppData%等)。

根据Trend Micro的说法,该恶意软件正处于早期开发阶段,其中Pastebin上存放的链接是指向本地。

原文链接:https://securityaffairs.co/wordpress/78991/malware/malware-twitter-memes.html