安全研究人員表示,他們發現了一種新型惡意軟件,它可以從 Twitter 表情包隱藏的代碼中獲取指令。
惡意軟件本身相對平庸:跟大多數原始的遠程訪問特洛伊木馬(RAT)一樣,該惡意軟件會悄然感染存在漏洞的計算機,對屏幕進行截圖並從受感染的系統中盜取其他數據,併發回到惡意軟件的命令和控制服務器。
有趣的地方在於,該惡意軟件把 Twitter 用作與其控制中樞進行通信的渠道。
網絡安全廠商趨勢科技(Trend Micro)在 一篇博客文章 中表示,該惡意軟件會聽從一個 Twitter 賬戶發出的指令,而該賬戶屬於惡意軟件的幕後黑手。研究人員發現,有兩條推文使用信息隱藏技術在表情包圖像中隱藏了“/print”指令,該指令是讓惡意軟件截取受感染計算機的屏幕圖像。然後,惡意軟件會從發佈在 Pastebin 的一則帖子中獲取命令和控制服務器所在的地址,把屏幕截圖發送過去——毫無疑問,創意上可以給滿分。
研究人員表示,發佈到 Twitter 的表情包中可能包含了其他指令,比如獲取當前運行應用和進程列表的“/processos”,盜取用戶剪貼板內容的“/clip”,以及從特定文件夾檢索文件名的“/docs”。
根據惡意軟件分析服務 VirusTotal 完成的 哈希分析 ,該惡意軟件最初似乎出現在 10 月中旬,也就是 Pastebin 上那則帖子 首次創建的時間。
但研究人員坦承,他們並不知道所有的答案,要完全搞清楚這個惡意軟件還需要做更多的工作。目前尚不清楚這個惡意軟件來自哪裡,它如何感染受害者,以及幕後黑手是誰。同樣不清楚的還有這個惡意軟件意欲何為,或者說它的未來用途是什麼。此外,研究人員也不知道為什麼 Pastebin 上的那則帖子要指向一個本地的非互聯網地址,這表明它可能只是未來攻擊的概念驗證。
儘管 Twitter 沒有託管任何惡意內容,推文也不會導致惡意軟件感染,但使用社交媒體來作為與惡意軟件通信的方式,這的確是一種有趣的方式(但也算不上獨一無二)。
其中的邏輯是這樣的:通過使用 Twitter,惡意軟件將跟“twitter.com”進行連接,跟其他似是而非的服務器地址相比,這個網址不太可能遭到反惡意軟件的標記或攔截。
在趨勢科技曝光了上述 Twitter 賬戶之後,Twitter 已經 永久性地凍結 了該賬戶。
這不是惡意軟件或殭屍網絡幕後黑手第一次使用 Twitter 作為他們與自己網絡進行通信的平臺。 早在 2009 年 ,就曾有人把 Twitter 用作向殭屍網絡發送指令的渠道。在 較近的 2016 年 ,有一款安卓惡意軟件會跟預先確定的 Twitter 賬戶進行通信,以此接收指令。
閱讀更多 波哥跟你聊 的文章
