Trend Micro: Зловмисники використовували для активації шкідливого програмного забезпечення зображення з інтернет-мемами
Trend Micro: Зловмисники використовували для активації шкідливого програмного забезпечення зображення з інтернет-мемами
Trend Micro повідомила про проведене дослідження, метою якого став приклад використання стеганографії — запису прихованого коду до різних ділянок нешкідливих файлів — для обходу антивірусів та систем захисту ПК. Зловмисники використовували для активації шкідливого програмного забезпечення два зображення з інтернет-мемами, спеціально завантажені в соціальну мережу Twitter.
Невідомі зловмисники опублікували на створеному в 2017 році обліковому записі в Twitter зображення з персонажем кінофільму «Матриця» Морфеусом, в яких було закодовано команду /print. Як з'ясували фахівці Trend Micro, шкідливе ПЗ, позначене як TROJAN.MSIL.BERBOMTHUM.AA, шукає зображення у вказаному обліковому записі за певними параметрами (), потім скачує їх на уражену систему і використовує зашифровані у файлах команди, щоб збирати інформацію про комп'ютер і направляти її на закодований за допомогою сервісу Pastebin адресу сервера. При цьому, у випадку з опублікованими мемами, хакери, швидше за все, використовували не справжню адресу сервера, а тимчасову «заглушку».
Найцікавішим з погляду дослідників компанії виявилося те, що для активації свого шкідливого програмного забезпечення зловмисники обрали цілком легальний сервіс, яким щодня користуються сотні мільйонів людей по всьому світу. А єдиний спосіб усунути загрозу — це відключення облікового запису в Twitter (станом на 13 грудня 2018 року адміністрація соціальної мережі вже заблокувала цей обліковий запис), для якого без інформації від Trend Micro просто не було б приводу.
Окрім команди /print, яка робить знімок екрана, виявлене шкідливе програмне забезпечення також підтримує наступні команди:
- /processos — збирає дані про список запущених процесів;
- /clip — збирає дані про вміст буфера обміну;
- /username — отримує інформацію про ім'я користувача зараженого ПК;
- /docs — отримує список імен файлів, що знаходяться за заздалегідь вказаною адресою, наприклад, на робочому столі.
У Trend Micro зазначили, що в ході дослідження не розглядалися шляхи потрапляння шкідливого програмного забезпечення на комп'ютери жертв, але вони явно не пов'язані зі «скомпрометованим» обліковим записом у Twitter. Також цікаво, що саме програмне забезпечення виявлялося багаторівневою системою захисту Trend Micro XGen ще до початку вивчення цього програмного забезпечення, але фахівці компанії вважають, що без комплексної і різнобічного захисту комп'ютери користувачів і звичайні антивірусні програми можуть виявитися беззахисними перед шкідливим програмним забезпеченням, яке використовує цілком легальні канали для активації своїх функцій і, що ще більш важливо, користується абсолютно нешкідливим з точки зору системи набором команд.