Wirus odczytuje komendy przestępców... z memów na Twitterze

Nowy atak wykorzystuje tzw. steganografię. Czym jest i jak działa?

Eksperci ds. bezpieczeństwa pod koniec listopada zauważyli, że na pewnym, pustym dotychczas, twitterowym koncie opublikowane zostały dwa obrazki, w których ukryto czytelne tylko dla wirusa instrukcje działania na komputerze ofiary. Jak bronić się przed takimi atakami? 

Twitter, 25 i 26 listopada 2018 r. Na pustym dotychczas koncie “b0mb3rmc” pojawiają się dwa memy. Jeden z nich przedstawia Morfeusza, mentora z filmowej serii Matrix. Tradycyjnie dla tej postaci podaje on wiedzę odbiorcy w wątpliwość, podpisując obrazek cytatem: A co, gdybym ci powiedział, że źródła nie są prawdziwe? Tym razem kontekst jest szczególny - Morfeusz ma rację. Tam, gdzie ofiara jako źródło widzi zwykłą grafikę, ukryty na jej komputerze TROJAN.MSIL.BERBOMTHUM.AA dostrzega i wykonuje złośliwy kod zaszyty w metadanych oglądanego pliku. 

Nowy atak wykorzystuje tzw. steganografię - technikę ukrywania nie treści komunikatu (tym zajmuje się kryptografia), ale samej jego obecności. 

Wiele zagrożeń odbiera instrukcje łącząc się z serwerami command-and-control (C&C). Pozwala to indywidualnie dyktować wirusowi działania w komputerze ofiary lub zautomatyzować cały proces obsługując równolegle tysiące cyberataków. Łączność na linii wirus-serwer jest przy tym ciągle utrudniana, głównie przez antywirusy. Dzisiejsze rozwiązania bezpieczeństwa wielostronnie prześwietlają ruch sieciowy, wycinając podejrzane transmisje i blokując adresy IP znane z promowania szkodliwych treści. Sięgając po steganografię cyberprzestępcy testują komunikację kanałami, których widoczność w sieci nie wywoła alarmu, a już na pewno nie wzbudzi podejrzeń w social mediach czy streamie aktualności przeciętnego internauty. 

Tak właśnie działa wspomniane zagrożenie wykryte przez firmę Trend Micro. Regularnie sprawdzało ono profil Twittera utworzony jeszcze w 2017 roku. Rozpoznając w tweecie grafikę, wirus pobierał ją na dysk komputera, by po przeskanowaniu metadanych wykonać ukryte w nich komendy. Jakie? Przykładowo instrukcja “/print” wykonuje i przesyła do serwera zagrożenia zrzut ekranu zarażonej maszyny. Wirus może też udostępnić listę aktywnych procesów systemu użytkownika (ujawniając np. działanie konkretnego antywirusa), jego login Twittera, nazwy plików z określonych folderów na dysku i zawartość skopiowaną przez użytkownika do schowka. Czy na infiltracji się skończy? 

- Prawdopodobnie obserwujemy wczesną wersję zagrożenia, ograniczoną do rekonesansu w systemie ofiary - mówi Bartosz Jurga, dyrektor sprzedaży firmy Xopero - Dla bezpieczeństwa trzeba jednak założyć, że kompletny wirus może wyrządzać realne szkody np. masowo kradnąc dane, włączając komputer do botnetu i pobierając z sieci dodatkowe składniki cyberataku, mogące rozszerzać infekcję na kolejne maszyny. Może się też pojawić komenda “/encrypt”, bo wciąż aktywni amatorzy ransomware z pewnością chętnie wypróbują taki kanał komunikacji. 

Tezę o roboczej wersji wirusa zdaje się potwierdzać raczej tymczasowy adres URL jego serwera. Ukryty w linku do usługi Pastebin (sieciowego magazynu udostępniania krótkich tekstów) kieruje ruch na prywatny adres IP, używany najprawdopodobniej tylko do testów nowego zagrożenia. 

Xopero przypomina, że stosowanie steganografii w cyfrowym wyścigu zbrojeń nie jest zjawiskiem nowym, a cyberprzestępcy sięgali już po nią wielokrotnie, z różnymi sukcesami. Z drugiej strony być może właśnie nadchodzi jej czas. W świecie social mediów, w których - wg badań Ditto Labs - codziennie udostępnianych jest już 3,2 miliarda grafik, a użytkownicy wyrażają emocje gif-ami to właśnie obrazek ściąga uwagę najsilniej, od dawna będąc głównym budulcem komunikacji. 

Równocześnie nie warto popadać w paranoję, chociaż potencjalnie niebezpieczna grafika może przyciągnąć odbiorców także w miejscu ich pracy, ryzykując utratę lub zniszczenie firmowych danych. Zdaniem ekspertów samo zagrożenie nie rozprzestrzenia się (jeszcze) ani za pomocą obrazków, ani social mediów, a 13 grudnia Twitter deaktywował podejrzane konto. Nie oznacza to oczywiście, że twórcy wirusa wycofali się z biznesu, ale dbając o aktualizacje systemu i antywirusa oraz sprawdzony backup danych możemy bez większego zagrożenia przeglądać w sieci kolejne obrazki.

 

 

 

 

 

 

Pobierz ebook "Social media marketing dla firm i agencje się w nim specjalizujące"