I ricercatori di sicurezza hanno scoperto un altro esempio di come i criminali informatici mascherino le loro attività di malware come traffico regolare utilizzando servizi legittimi basati su cloud.
I ricercatori di Trend Micro hanno scoperto un nuovo malware che recupera i comandi dai meme pubblicati su un account Twitter controllato dagli aggressori.
La maggior parte del malware si basa sulla comunicazione con il proprio server command-and-control per ricevere istruzioni dagli aggressori ed eseguire varie attività sui computer infetti. Poiché gli strumenti di sicurezza tengono d’occhio il traffico di rete per rilevare indirizzi IP dannosi, gli hacker utilizzano sempre più spesso siti e server legittimi come infrastrutture nei loro attacchi per rendere il software dannoso più difficile da rilevare.
Nello schema malevolo recentemente individuato, che secondo i ricercatori è nella sua fase iniziale, gli hacker hanno utilizzato la steganografia (una tecnica per nascondere contenuti all’interno di un’immagine grafica digitale in modo invisibile a un osservatore), per nascondere i comandi malevoli incorporati in un meme pubblicato su Twitter, che il malware quindi analizza ed esegue.
Sebbene il meme d’internet appaia agli occhi umani un’immagine normale, il comando “/ print” che è nascosto nei metadati del file, richiede al malware di inviare uno screenshot del computer infetto a un server remoto di comando e controllo.
Il malware, che i ricercatori ha chiamato “Trojan.Msil.Berbomthum.AA”, è stato progettato per controllare l’account Twitter dell’attaccante e quindi scaricare ed eseguire la scansione di file meme (immagine) per i comandi segreti.
I ricercatori di Trend Micro hanno detto che l’account Twitter in questione creato nel 2017, conteneva solo due meme pubblicati il 25 e 26 ottobre per consegnare i comandi “/ print” al malware che lo istruiva a fare screenshot.
Il malware quindi doveva inviare gli screenshot a un server di comando e controllo, il cui indirizzo è ottenuto tramite un URL “hardcoded” sul sito Pastebin. Il malware oltre a prendere screenshot, può anche ricevere una serie di altri comandi, come recuperare un elenco di processi in esecuzione, prendere il nome dell’account dell’utente registrato, ottenere nomi di file da directory specifiche su una macchina infetta e prelevare il contenuto degli appunti dell’utente.
Il malware sembra essere nelle prime fasi del suo sviluppo poiché il collegamento del sito Pastebin punta a un indirizzo IP privato locale, “che è probabilmente un segnaposto temporaneo usato dagli aggressori”.
E’ emerso che il malware non è stato scaricato da Twitter, attualmente i ricercatori non hanno trovato quale meccanismo specifico è stato o potrebbe essere utilizzato dagli aggressori per consegnare il malware ai computer delle vittime.
La buona notizia è che l’account Twitter utilizzato per consegnare i meme dannosi sembra essere stato disabilitato, ma non è ancora chiaro chi sia dietro a questo malware e come il misterioso hacker stesse diffondendo il malware.
