Специалисты в области информационной безопасности обнаружили необычную вредоносную программу, которая принимает команды, скрытые в мемах, опубликованных в твиттере. После этого программа собирает данные в соответствии с полученной командой и отсылает их на сервер, адрес которого также узнает из промежуточного и публично доступного сервиса, рассказывают исследователи в блоге компании Trend Micro.
Злоумышленники зачастую действуют не напрямую, а скрывают работу своего программного обеспечения. Часто для этого применяется стеганография — метод передачи данных, который скрывает сам факт передачи. Например, вредоносное программное обеспечение может скрываться в файле, который имеет расширение не исполняемого файла (.exe, .bin и другие), а изображения (.jpg, .png и другие). Благодаря этому сам пользователь и антивирусные механизмы в системе могут не заподозрить попадание вредоносного файла на компьютер.
Специалисты из компании Trend Micro обнаружили новый способ использования стеганографии для работы вредоносного программного обеспечения — сокрытие команд для в мемах. Специалисты изучили код обнаруженной программы и выяснили механизм ее работы. После попадания на компьютер жертвы и начала работы программа скачивает данные определенной страницы на сервисе Pastebin и узнает оттуда адрес сервера злоумышленников. После этого она собирает данные из определенного твиттер-аккаунта и ищет изображения. Затем программа ищет в файле изображения скрытую команду, начинающуюся с символа «/», выполняет ее, отсылая данные на сервер злоумышленников.
Исследователи обнаружили в Pastebin-аккаунте из кода локальный адрес, а в соответствующем аккаунте в твиттере лишь два мема, в которых содержалась скрытая команда «/print», после которой программа делает скриншот экрана жертвы. По видимому, обнаруженная программа использовалась авторами как экспериментальная проверка метода, а не как полноценное программное обеспечение для сбора данных множества пользователей.
Помимо команды «/print» исследователи обнаружили в коде зловреда еще несколько доступных команд. «/processos» собирает данные о запущенных процессах на компьютере пользователя, «/clip» собирает данные из буфера обмена, «/username» записывает имя пользователя на компьютере, а «/docs» записывает имена файлов в определенной директории.
Исследователи отмечают, что такая техника позволяет скрывать получение команд, потому что обычно антивирусные программы не распознают обращения к социальным сетям и другим популярным сайтам как подозрительные. Стоит отметить, что атаки с использованием встроенных в изображения команд и размещением этих изображений в социальных сетях уже применялись ранее. Кроме того, некоторые злоумышленники использовали более простые методы, при которых пользователи Twitter публикуют команды для вируса в текстовом виде.
Ранее мы писали о другом необычном вирусе. Он шифровал файлы на компьютере пользователя и требовал от пользователя поиграть в популярную онлайн-игру для расшифровки, а не прислать криптовалюту, как обычно делают другие аналогичные программы, в том числе знаменитый вирус WannaCry.
Григорий Копиев