Мемы в твиттере оказались скрытыми командами для трояна

Специалисты в области информационной безопасности обнаружили необычную вредоносную программу, которая принимает команды, скрытые в мемах, опубликованных в твиттере. После этого программа собирает данные в соответствии с полученной командой и отсылает их на сервер, адрес которого также узнает из промежуточного и публично доступного сервиса, рассказывают исследователи в блоге компании Trend Micro.

Злоумышленники зачастую действуют не напрямую, а скрывают работу своего программного обеспечения. Часто для этого применяется стеганография — метод передачи данных, который скрывает сам факт передачи. Например, вредоносное программное обеспечение может скрываться в файле, который имеет расширение не исполняемого файла (.exe, .bin и другие), а изображения (.jpg, .png и другие). Благодаря этому сам пользователь и антивирусные механизмы в системе могут не заподозрить попадание вредоносного файла на компьютер.

Специалисты из компании Trend Micro обнаружили новый способ использования стеганографии для работы вредоносного программного обеспечения — сокрытие команд для в мемах. Специалисты изучили код обнаруженной программы и выяснили механизм ее работы. После попадания на компьютер жертвы и начала работы программа скачивает данные определенной страницы на сервисе Pastebin и узнает оттуда адрес сервера злоумышленников. После этого она собирает данные из определенного твиттер-аккаунта и ищет изображения. Затем программа ищет в файле изображения скрытую команду, начинающуюся с символа «/», выполняет ее, отсылая данные на сервер злоумышленников.

Исследователи обнаружили в Pastebin-аккаунте из кода локальный адрес, а в соответствующем аккаунте в твиттере лишь два мема, в которых содержалась скрытая команда «/print», после которой программа делает скриншот экрана жертвы. По видимому, обнаруженная программа использовалась авторами как экспериментальная проверка метода, а не как полноценное программное обеспечение для сбора данных множества пользователей.

Помимо команды «/print» исследователи обнаружили в коде зловреда еще несколько доступных команд. «/processos» собирает данные о запущенных процессах на компьютере пользователя, «/clip» собирает данные из буфера обмена, «/username» записывает имя пользователя на компьютере, а «/docs» записывает имена файлов в определенной директории.

Исследователи отмечают, что такая техника позволяет скрывать получение команд, потому что обычно антивирусные программы не распознают обращения к социальным сетям и другим популярным сайтам как подозрительные. Стоит отметить, что атаки с использованием встроенных в изображения команд и размещением этих изображений в социальных сетях уже применялись ранее. Кроме того, некоторые злоумышленники использовали более простые методы, при которых пользователи Twitter публикуют команды для вируса в текстовом виде.

Ранее мы писали о другом необычном вирусе. Он шифровал файлы на компьютере пользователя и требовал от пользователя поиграть в популярную онлайн-игру для расшифровки, а не прислать криптовалюту, как обычно делают другие аналогичные программы, в том числе знаменитый вирус WannaCry.

Григорий Копиев

Нашли опечатку? Выделите фрагмент и нажмите Ctrl+Enter.