14.01.2019 / Bezpieczeństwo
 

Wirus odczytuje komendy przestępców... z memów na Twitterze

  • Facebook Polub
  • LinkedIn Opublikuj
  • Twitter Udostępnij
 
fot. Pexels
fot. Pexels

Eksperci ds. bezpieczeństwa pod koniec listopada zauważyli, że na pewnym, pustym dotychczas, twitterowym koncie opublikowane zostały dwa obrazki, w których ukryto czytelne tylko dla wirusa instrukcje działania na komputerze ofiary. Jak bronić się przed takimi atakami? 

Twitter, 25 i 26 listopada 2018 r. Na pustym dotychczas koncie “b0mb3rmc” pojawiają się dwa memy. Jeden z nich przedstawia Morfeusza, mentora z filmowej serii Matrix. Tradycyjnie dla tej postaci podaje on wiedzę odbiorcy w wątpliwość, podpisując obrazek cytatem: A co, gdybym ci powiedział, że źródła nie są prawdziwe? Tym razem kontekst jest szczególny - Morfeusz ma rację. Tam, gdzie ofiara jako źródło widzi zwykłą grafikę, ukryty na jej komputerze TROJAN.MSIL.BERBOMTHUM.AA dostrzega i wykonuje złośliwy kod zaszyty w metadanych oglądanego pliku. 

Nowy atak wykorzystuje tzw. steganografię - technikę ukrywania nie treści komunikatu (tym zajmuje się kryptografia), ale samej jego obecności

Wiele zagrożeń odbiera instrukcje łącząc się z serwerami command-and-control (C&C). Pozwala to indywidualnie dyktować wirusowi działania w komputerze ofiary lub zautomatyzować cały proces obsługując równolegle tysiące cyberataków. Łączność na linii wirus-serwer jest przy tym ciągle utrudniana, głównie przez antywirusy. Dzisiejsze rozwiązania bezpieczeństwa wielostronnie prześwietlają ruch sieciowy, wycinając podejrzane transmisje i blokując adresy IP znane z promowania szkodliwych treści. Sięgając po steganografię cyberprzestępcy testują komunikację kanałami, których widoczność w sieci nie wywoła alarmu, a już na pewno nie wzbudzi podejrzeń w social mediach czy streamie aktualności przeciętnego internauty. 

Tak właśnie działa wspomniane zagrożenie wykryte przez firmę Trend Micro. Regularnie sprawdzało ono profil Twittera utworzony jeszcze w 2017 roku. Rozpoznając w tweecie grafikę, wirus pobierał ją na dysk komputera, by po przeskanowaniu metadanych wykonać ukryte w nich komendy. Jakie? Przykładowo instrukcja “/print” wykonuje i przesyła do serwera zagrożenia zrzut ekranu zarażonej maszyny. Wirus może też udostępnić listę aktywnych procesów systemu użytkownika (ujawniając np. działanie konkretnego antywirusa), jego login Twittera, nazwy plików z określonych folderów na dysku i zawartość skopiowaną przez użytkownika do schowka. Czy na infiltracji się skończy? 

- Prawdopodobnie obserwujemy wczesną wersję zagrożenia, ograniczoną do rekonesansu w systemie ofiary - mówi Bartosz Jurga, dyrektor sprzedaży firmy Xopero - Dla bezpieczeństwa trzeba jednak założyć, że kompletny wirus może wyrządzać realne szkody np. masowo kradnąc dane, włączając komputer do botnetu i pobierając z sieci dodatkowe składniki cyberataku, mogące rozszerzać infekcję na kolejne maszyny. Może się też pojawić komenda “/encrypt”, bo wciąż aktywni amatorzy ransomware z pewnością chętnie wypróbują taki kanał komunikacji. 

Tezę o roboczej wersji wirusa zdaje się potwierdzać raczej tymczasowy adres URL jego serwera. Ukryty w linku do usługi Pastebin (sieciowego magazynu udostępniania krótkich tekstów) kieruje ruch na prywatny adres IP, używany najprawdopodobniej tylko do testów nowego zagrożenia. 

Xopero przypomina, że stosowanie steganografii w cyfrowym wyścigu zbrojeń nie jest zjawiskiem nowym, a cyberprzestępcy sięgali już po nią wielokrotnie, z różnymi sukcesami. Z drugiej strony być może właśnie nadchodzi jej czas. W świecie social mediów, w których - wg badań Ditto Labs - codziennie udostępnianych jest już 3,2 miliarda grafik, a użytkownicy wyrażają emocje gif-ami to właśnie obrazek ściąga uwagę najsilniej, od dawna będąc głównym budulcem komunikacji. 

Równocześnie nie warto popadać w paranoję, chociaż potencjalnie niebezpieczna grafika może przyciągnąć odbiorców także w miejscu ich pracy, ryzykując utratę lub zniszczenie firmowych danych. Zdaniem ekspertów samo zagrożenie nie rozprzestrzenia się (jeszcze) ani za pomocą obrazków, ani social mediów, a 13 grudnia Twitter deaktywował podejrzane konto. Nie oznacza to oczywiście, że twórcy wirusa wycofali się z biznesu, ale dbając o aktualizacje systemu i antywirusa oraz sprawdzony backup danych możemy bez większego zagrożenia przeglądać w sieci kolejne obrazki.

 

 

 

 

 

 

  • Facebook Polub
  • LinkedIn Opublikuj
  • Twitter Udostępnij
wizytówki firm
szukasz klientów dla firmy?
  • TBMS Digital Marketing Agency TBMS Digital Marketing Agency

    Projektujemy i wdrażamy strony internetowe - m.in. sklepy, landing page, firmowe. Świadczymy usługi związane z...

    Zobacz profil w katalogu firm
  • NuOrder NuOrder

    Jesteśmy partnerem marek w zakresie kompleksowych działań interaktywnych i kampanii performance. Budujemy...

    Zobacz profil w katalogu firm
  • grey tree sp. z o.o. grey tree sp. z o.o.

    Istniejemy na rynku reklamowym od 2007 r. Przez ten czas zbudowaliśmy nie tylko naszą markę, ale przede wszystkim...

    Zobacz profil w katalogu firm
Trwa zapisywanie komentarza
Dodaj komentarz
Zaloguj się
Jeśli nie masz jeszcze konta w Interaktywnie.com - możesz się zarejestrować albo
wymagane
 
obrazek nieczytelny
 
 
wyślij
wizytówki firm
szukasz klientów dla firmy?
NuOrder
 
Arrow
newsletter
Arrow
Loader
Up Down
ostatnie komentarze
 
Dołącz do społeczności interaktywnie.com
 
 
 
 
© 2019 interaktywnie.com. All rights reserved.