Nowo wykryty malware potrafi przyjmować polecenia z memów

Badacze bezpieczeństwa z firmy Trend Micro odkryli kolejny przykład tego, jak szkodliwe oprogramowanie może zostać rozsiane pod płaszczykiem znanej doskonale i wydawałoby się bezpiecznej usługi. Mowa o Twitterze i zamieszczanych na nim memach.

Szkodnik – wykryty jako TROJAN.MSIL.BERBOMTHUM.AA – potrafi przyjmować polecenia ze specjalnie przygotowanych plików graficznych. Crackerzy używają w tym celu steganografii, czyli techniki polegającej na ukryciu danych w taki sposób, aby użytkownik nie mógł gołym okiem zdiagnozować zagrożenia. Widzi absolutnie zwyczajną grafikę.

Kiedy jednak malware znajdzie się na dysku, a ofiara natrafi na zmodyfikowany plik graficzny, zostaje wydana potencjalnie szkodliwa komenda. Jak ustalono, w obecnej wersji oprogramowanie umie: wykonać zrzut ekranu, pobrać listę procesów, skopiować zawartość schowka, a także odczytać nazwę użytkownika i plików na twardym dysku, z podziałem na foldery.

Wszystkie te dane trafiają do serwera C&C, którego adres jest uzyskiwany poprzez zakodowany URL na stronie pastebin.com. Mówiąc prościej – wędrują do napastnika.

Zespół Trend Micro odnalazł na Twitterze konto, gdzie zamieszczone były dwa szkodliwe memy z ukrytym poleceniem print, inicjującym zrzut ekranu. Z tym że wspomniane konto 13 grudnia 2018 r. zostało zablokowane przez administrację platformy, przez co nie stanowi już zagrożenia.

Niestety nie udało się przy tym ustalić, jak właściwie rozprzestrzenia się sam malware.

Eksperci zwracają natomiast uwagę na ograniczoną funkcjonalność i niedopracowany kod, podejrzewając, że oprogramowanie znajduje się dopiero we wczesnej fazie testowej, a groźniejsze ataki z jego wykorzystaniem mogą nadejść dopiero w przyszłości.