新的恶意软件从发布到Twitter的模因中隐藏的代码中获取指令-王其杉博客|程序员|科技新闻
安全研究人员说,他们发现了一种新的恶意软件,它从发布到Twitter的模因中隐藏的代码中获取指令。
恶意软件本身相对来说还算低级:像大多数原始远程访问木马(RAT)一样,恶意软件悄悄地感染易受攻击的计算机,从受影响的系统中截取截图并提取其他数据,并将其发送回恶意软件的命令和控制服务器。
有趣的是,恶意软件如何使用Twitter作为不情愿的管道与恶意的母舰进行通信。
Trend Micro在一篇博客文章中说,恶意软件监听来自恶意软件操作员运行的Twitter帐户的命令。研究人员发现了两条使用隐写术隐藏模因图像中“/print”命令的tweet,它们告诉恶意软件对受感染的计算机进行截图。然后,恶意软件分别从Pastebin帖子获得其命令和控制服务器所在的地址,Pastebin帖子指导恶意软件将屏幕截图发送到哪里——10/10分,这是肯定的。
研究人员说,上传到Twitter页面的模块可以包括其他命令,比如“/processos”来检索正在运行的应用程序和进程的列表、“/clip”来窃取用户剪贴板的内容和“/docs”来从特定文件夹检索文件名。
根据VirusTotal的哈希分析,这个恶意软件似乎最早出现在10月中旬,大约是在Pastebin帖子第一次创建的时候。
但是研究人员承认他们没有全部的答案,并且需要做更多的工作来完全理解恶意软件。目前还不清楚恶意软件来自哪里,它如何感染受害者,或者谁在幕后。目前还不清楚这个恶意软件到底是做什么用的,也不清楚它未来的用途是什么。研究人员也不知道为什么巴斯德宾的帖子指向一个本地的、非互联网的地址,暗示这可能是未来攻击的一个概念证明。
虽然Twitter没有托管任何恶意内容,推特也不可能导致恶意软件感染,但它是一种有趣的(尽管不是唯一的)使用社交媒体站点作为与恶意软件通信的聪明方式的方法。
逻辑上说,在使用Twitter时,恶意软件会连接到“twitter.com”,这比起看起来狡猾的服务器,被反恶意软件标记或阻止的可能性要小得多。
在Trend Micro报告了该账户之后,Twitter将该账户从线下拉出,并永久挂起。
这不是恶意软件或僵尸网络运营商第一次使用Twitter作为与他们的网络进行通信的平台。早在2009年,Twitter就被用作向僵尸网络发送命令的方式。而且,直到2016年,Android恶意软件将与一个预定义的Twitter帐户通信以接收命令。
礼品指南:最好的安全和隐私技术,让您的朋友安全