Исследователи безопасности нашли новый вид вредоносного ПО, который берёт инструкции из кода, спрятанного в мемах в Twitter, пишет TechCrunch.
В самом «зловреде» нет ничего выдающегося: как и большинство простейших троянов удаленного доступа, он заражает уязвимый компьютер, делает скриншоты, извлекает иные данные из системы и высылает их обратно на сервер. Его особенностью является то, что в качестве средства коммуникации вируса с базой используется популярная соцсеть.
Как сообщила японская компания в области кибербезопасности Trend Micro, зловред черпал команды из аккаунта оператора. Специалисты обнаружили два твита, в которых в мемах с помощью стеганографии была зашифрована команда «/print». Она указывала трояну делать скриншоты заражённого компьютера. Далее зловред отдельно получал адрес командного сервера из поста Pastebin, куда должен был переслать изображения.
По словам исследователей, мемы могли содержать и другие команды, например «/processos» для извлечения списка запущенных процессов и приложений, «/clip» — для кражи информации из буфера обмена и «/docs» — для получения имён файлов из определённых папок.
Зловред появился в середине октября. Исследователи безопасности планируют продолжить изучать вирус: пока неясно его происхождение, кто за ним стоит и как он попадает к жертвам. Также неизвестно назначение трояна и почему пост Pastebin указывает на локальный, а не интернет-адрес — по мнению специалистов, это может быть частью плана будущих атак.
Хотя Twitter не размещает потенциально опасный контент и сами твиты не могут привести к заражению, соцсеть стала инструментом общения для вируса: он подключается к адресу «twitter.com», который с меньшей вероятностью будет заподозрен или блокирован антивирусным ПО, чем сомнительный сервер. После сообщения Trend Micro аккаунт отключили.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.