Эксперты компании Trend Micro рассказали об обнаружении малвари TROJAN.MSIL.BERBOMTHUM.AA, которая использовала для получения команд Twitter, стеганографию и мемы.
Исследователи рассказывают, что схему распространения самой угрозы им определить не удалось, однако много интересного удалось выяснить относительно механизма управления малварью. Для этой цели злоумышленники создали учетную запись в Twitter (в настоящее время аккаунт уже удален), где 25 и 26 октября 2017 года были размещены посты с вредоносными мемами. Преступники использовали стеганографию, то есть в коде этих ничем не примечательных на первый взгляд картинок содержались команды для малвари.
Эксперты отмечают, что использование легитимного сервиса (в данном случае социальной сети) в качестве альтернативы управляющему серверу обеспечивало злоумышленникам определенную надежность. Ведь вредоносные изображения были доступны и сохранны до тех пор, пока учетную запись злоумышленников не деактивировали.
Успешно заразив целевую машину, TROJAN.MSIL.BERBOMTHUM.AA загружал из Twitter вредоносные мемы и извлекал команды из изображений. К примеру, закодированная в картинках команда print заставляла трояна делать снимки экрана зараженного устройства. Также троян мог собирать информацию о запущенных процессах, воровать содержимое буфера обмена, извлекать username зараженной машины, собирать названия файлов в определенных папках (desktop, %AppData% и так далее).
Информацию о фактическом C&C-сервере вредонос получал с Pastebin, а затем передавал все собранные данные по полученному адресу.
Исследователи рассказывают, что схему распространения самой угрозы им определить не удалось, однако много интересного удалось выяснить относительно механизма управления малварью. Для этой цели злоумышленники создали учетную запись в Twitter (в настоящее время аккаунт уже удален), где 25 и 26 октября 2017 года были размещены посты с вредоносными мемами. Преступники использовали стеганографию, то есть в коде этих ничем не примечательных на первый взгляд картинок содержались команды для малвари.
Эксперты отмечают, что использование легитимного сервиса (в данном случае социальной сети) в качестве альтернативы управляющему серверу обеспечивало злоумышленникам определенную надежность. Ведь вредоносные изображения были доступны и сохранны до тех пор, пока учетную запись злоумышленников не деактивировали.
Успешно заразив целевую машину, TROJAN.MSIL.BERBOMTHUM.AA загружал из Twitter вредоносные мемы и извлекал команды из изображений. К примеру, закодированная в картинках команда print заставляла трояна делать снимки экрана зараженного устройства. Также троян мог собирать информацию о запущенных процессах, воровать содержимое буфера обмена, извлекать username зараженной машины, собирать названия файлов в определенных папках (desktop, %AppData% и так далее).
Информацию о фактическом C&C-сервере вредонос получал с Pastebin, а затем передавал все собранные данные по полученному адресу.