Nowy wirus czyta instrukcje z memów na Twitterze


Niemal 330 mln. Tyle osób liczy sobie obecnie rzesza użytkowników, którzy mogą czytać i reagować na tweety. Okazuje się jednak, że taką zdolność posiadły również zagrożenia. Eksperci ds. bezpieczeństwa wyśledzili ostatnio konto Twittera, które stanowiło swoistego rodzaju instrukcję dla nowego wirusa. Dzięki zamieszczonym na nim memom zagrożenie wiedziało, jak ma poczynać sobie na komputerze ofiary. Firma Xopero uspokaja jednak, że przy zachowaniu należytych środków ostrożności przeglądanie zasobów Twittera jest dla nas bezpieczne.

Nowy wirus pojawił się w sieci u schyłku listopada minionego roku. To wówczas na dotychczas pustym koncie Twittera o nazwie “b0mb3rmc” opublikowano dwa memy. Jeden z nich przedstawiał Morfeusza, bohatera trylogii filmowej Matrix i opatrzony był cytatem: „A co, gdybym ci powiedział, że źródła nie są prawdziwe?” Kontekst tego hasła był w tym przypadku szczególny – okazało się bowiem, że Morfeusz nie zadawał tego pytania przypadkiem. Tam bowiem, gdzie użytkownik Twittera widział tylko zwykłą grafikę, ukryty na jego komputerze TROJAN.MSIL.BERBOMTHUM.AA dostrzegał i wykonywał złośliwy kod, który zaszyty był w jej metadanych.

Wykryty wirus bazuje na tzw. steganografię, czyli technice służącej nie ukrywaniu treści komunikatu (od tego jest kryptografia), ale samej jego obecności. Jest ona w stanie maskować komunikację tak skutecznie, jak tatuaże bohatera serialu “Skazany na śmierć” kryły mapę więzienia, do którego trafił. A cyberprzestępców przyciąga do niej potrzeba kamuflażu ich własnej łączności. Wiele zagrożeń odbiera instrukcje łącząc się z serwerami command-and-control (C&C). Pozwala to indywidualnie dyktować wirusowi działania w komputerze ofiary lub zautomatyzować cały proces obsługując równolegle tysiące cyberataków.

Wirus odczytuje komendy przestępców z memów na Twitterze

fot. Groenning – Fotolia.com

Wirus odczytuje komendy przestępców z memów na Twitterze

Na wyśledzonym przez ekspertów bezpieczeństwa koncie Twittera pod koniec listopada opublikowano dwa obrazki, w których za pomocą steganografii ukryto czytelne tylko dla wirusa instrukcje działania na komputerze ofiary.

Łączność na linii wirus-serwer jest przy tym ciągle utrudniana, głównie przez antywirusy. Dzisiejsze rozwiązania bezpieczeństwa wielostronnie prześwietlają ruch sieciowy, wycinając podejrzane transmisje i blokując adresy IP znane z promowania szkodliwych treści. Sięgając po steganografię cyberprzestępcy testują komunikację kanałami, których widoczność w sieci nie wywoła alarmu, a już na pewno nie wzbudzi podejrzeń w social mediach czy streamie aktualności przeciętnego internauty.

Tak właśnie działa wspomniane zagrożenie wykryte przez firmę Trend Micro. Regularnie sprawdzało ono profil Twittera utworzony jeszcze w 2017 roku. Rozpoznając w tweecie grafikę, wirus pobierał ją na dysk komputera, by po przeskanowaniu metadanych wykonać ukryte w nich komendy. Jakie? Przykładowo instrukcja “/print” wykonuje i przesyła do serwera zagrożenia zrzut ekranu zarażonej maszyny. Nowy wirus może też udostępnić listę aktywnych procesów systemu użytkownika (ujawniając np. działanie konkretnego antywirusa), jego login Twittera, nazwy plików z określonych folderów na dysku i zawartość skopiowaną przez użytkownika do schowka. Czy na infiltracji się skończy?

– Prawdopodobnie obserwujemy wczesną wersję zagrożenia, ograniczoną do rekonesansu w systemie ofiary – mówi Bartosz Jurga, dyrektor sprzedaży firmy Xopero – Dla bezpieczeństwa trzeba jednak założyć, że kompletny wirus może wyrządzać realne szkody np. masowo kradnąc dane, włączając komputer do botnetu i pobierając z sieci dodatkowe składniki cyberataku, mogące rozszerzać infekcję na kolejne maszyny. Może się też pojawić komenda “/encrypt”, bo wciąż aktywni amatorzy ransomware z pewnością chętnie wypróbują taki kanał komunikacji.

Tezę o roboczej wersji wirusa zdaje się potwierdzać raczej tymczasowy adres URL jego serwera. Ukryty w linku do usługi Pastebin (sieciowego magazynu udostępniania krótkich tekstów) kieruje ruch na prywatny adres IP, używany najprawdopodobniej tylko do testów nowego zagrożenia.

Xopero przypomina, że stosowanie steganografii w cyfrowym wyścigu zbrojeń nie jest zjawiskiem nowym, a cyberprzestępcy sięgali już po nią wielokrotnie, z różnymi sukcesami. Z drugiej strony być może właśnie nadchodzi jej czas. W świecie social mediów, w których – wg badań Ditto Labs – codziennie udostępnianych jest już 3,2 miliarda grafik, a użytkownicy wyrażają emocje gif-ami to właśnie obrazek ściąga uwagę najsilniej, od dawna będąc głównym budulcem komunikacji.

Równocześnie nie warto popadać w paranoję, chociaż potencjalnie niebezpieczna grafika może przyciągnąć odbiorców także w miejscu ich pracy, ryzykując utratę lub zniszczenie firmowych danych. Zdaniem ekspertów samo zagrożenie nie rozprzestrzenia się (jeszcze) ani za pomocą obrazków, ani social mediów, a 13 grudnia Twitter deaktywował podejrzane konto. Nie oznacza to oczywiście, że twórcy wirusa wycofali się z biznesu, ale dbając o aktualizacje systemu i antywirusa oraz sprawdzony backup danych możemy bez większego zagrożenia przeglądać w sieci kolejne obrazki.

You have Successfully Subscribed!