趋势科技的安全研究人员发现了一种新的恶意软件,可以从攻击者控制的Twitter帐户上发布的表情包中检索命令。通过这种方式,攻击者很难检测到与恶意软件相关的流量,显示出的都是合法的Twitter流量。
使用合法的Web服务来控制恶意软件并不新鲜,过去的骗子使用Gmail,DropBox,PasteBin等合法服务来控制恶意代码。趋势科技发现的恶意软件利用隐写术来隐藏Twitter上发布的表情包中嵌入的命令。隐写术是一种隐藏图像文件中的代码的技术,不是在Twitter上独有的攻击形式。多年来,网络犯罪分子在图像文件中嵌入了恶意代码,通常分布在电子邮件malspam广告系列中。然而,这是迄今为止仅使用表情包的第一个例子,它本质上属于病毒。
“这个新的威胁(检测为TROJAN.MSIL.BERBOMTHUM.AA)值得关注,因为恶意软件的命令是通过合法服务(也是一个流行的社交网络平台)接收的,使用看似友好其实恶意的表情包,以及除非禁用恶意Twitter帐户,否则无法删除它。截至2018年12月13日,Twitter已将该帐户下线。”
攻击者在表情包中隐藏了“/print”命令,它允许他们截取受感染机器的屏幕截图并将其发送回C&C服务器,该服务器的地址通过pastebin.com上的硬编码URL获得。BERBOMTHUM恶意软件检查攻击者使用的Twitter帐户,下载和扫描meme文件,并提取它们包含的命令。
不法分子使用的Twitter帐户创建于2017年,仅包含10月25日和26日发布的两条内容。这些图像用于向恶意软件发送“/print”命令。恶意软件当前处于开发阶段早期,Pastebin链接指向本地表明这或许只是攻击者的测试,推文内容无法单独引发感染,它们只是激活已经被感染的机器的渠道。
