新型恶意软件可从 Twitter 表情包隐藏的代码中获取指令

下一篇文章

Twitter 曝出安全漏洞,用户电话的国家代码疑遭泄露

安全研究人员表示,他们发现了一种新型恶意软件,它可以从 Twitter 表情包隐藏的代码中获取指令。

恶意软件本身相对平庸:跟大多数原始的远程访问特洛伊木马(RAT)一样,该恶意软件会悄然感染存在漏洞的计算机,对屏幕进行截图并从受感染的系统中盗取其他数据,并发回到恶意软件的命令和控制服务器。

有趣的地方在于,该恶意软件把 Twitter 用作与其控制中枢进行通信的渠道。

网络安全厂商趋势科技(Trend Micro)在一篇博客文章中表示,该恶意软件会听从一个 Twitter 账户发出的指令,而该账户属于恶意软件的幕后黑手。研究人员发现,有两条推文使用信息隐藏技术在表情包图像中隐藏了 “/print” 指令,该指令是让恶意软件截取受感染计算机的屏幕图像。然后,恶意软件会从发布在 Pastebin 的一则帖子中获取命令和控制服务器所在的地址,把屏幕截图发送过去——毫无疑问,创意上可以给满分。

研究人员表示,发布到 Twitter 的表情包中可能包含了其他指令,比如获取当前运行应用和进程列表的 “/processos”,盗取用户剪贴板内容的 “/clip”,以及从特定文件夹检索文件名的 “/docs”。

根据恶意软件分析服务 VirusTotal 完成的哈希分析,该恶意软件最初似乎出现在 10 月中旬,也就是 Pastebin 上那则帖子首次创建的时间。

但研究人员坦承,他们并不知道所有的答案,要完全搞清楚这个恶意软件还需要做更多的工作。目前尚不清楚这个恶意软件来自哪里,它如何感染受害者,以及幕后黑手是谁。同样不清楚的还有这个恶意软件意欲何为,或者说它的未来用途是什么。此外,研究人员也不知道为什么 Pastebin 上的那则帖子要指向一个本地的非互联网地址,这表明它可能只是未来攻击的概念验证。

尽管 Twitter 没有托管任何恶意内容,推文也不会导致恶意软件感染,但使用社交媒体来作为与恶意软件通信的方式,这的确是一种有趣的方式(但也算不上独一无二)。

其中的逻辑是这样的:通过使用 Twitter,恶意软件将跟 “twitter.com” 进行连接,跟其他似是而非的服务器地址相比,这个网址不太可能遭到反恶意软件的标记或拦截。

在趋势科技曝光了上述 Twitter 账户之后,Twitter 已经永久性地冻结了该账户。

这不是恶意软件或僵尸网络幕后黑手第一次使用 Twitter 作为他们与自己网络进行通信的平台。早在 2009 年,就曾有人把 Twitter 用作向僵尸网络发送指令的渠道。在较近的 2016 年,有一款安卓恶意软件会跟预先确定的 Twitter 账户进行通信,以此接收指令。

图片来源: Getty Images

翻译:王灿均(@何无鱼

New malware pulls its instructions from code hidden in memes posted to Twitter