新型惡意軟件可從 Twitter 表情包隱藏的代碼中獲取指令

安全研究人員表示，他們發現了一種新型惡意軟件，它可以從 Twitter 表情包隱藏的代碼中獲取指令。

惡意軟件本身相對平庸：跟大多數原始的遠程訪問特洛伊木馬（RAT）一樣，該惡意軟件會悄然感染存在漏洞的計算機，對屏幕進行截圖并從受感染的系統中盜取其他數據，并發回到惡意軟件的命令和控制服務器。

有趣的地方在于，該惡意軟件把 Twitter 用作與其控制中樞進行通信的渠道。

網絡安全廠商趨勢科技（Trend Micro）在 一篇博客文章 中表示，該惡意軟件會聽從一個 Twitter 賬戶發出的指令，而該賬戶屬于惡意軟件的幕后黑手。研究人員發現，有兩條推文使用信息隱藏技術在表情包圖像中隱藏了“/print”指令，該指令是讓惡意軟件截取受感染計算機的屏幕圖像。然后，惡意軟件會從發布在 Pastebin 的一則帖子中獲取命令和控制服務器所在的地址，把屏幕截圖發送過去——毫無疑問，創意上可以給滿分。

研究人員表示，發布到 Twitter 的表情包中可能包含了其他指令，比如獲取當前運行應用和進程列表的“/processos”，盜取用戶剪貼板內容的“/clip”，以及從特定文件夾檢索文件名的“/docs”。

根據惡意軟件分析服務 VirusTotal 完成的 哈希分析 ，該惡意軟件最初似乎出現在 10 月中旬，也就是 Pastebin 上那則帖子 首次創建的時間。

但研究人員坦承，他們并不知道所有的答案，要完全搞清楚這個惡意軟件還需要做更多的工作。目前尚不清楚這個惡意軟件來自哪里，它如何感染受害者，以及幕后黑手是誰。同樣不清楚的還有這個惡意軟件意欲何為，或者說它的未來用途是什么。此外，研究人員也不知道為什么 Pastebin 上的那則帖子要指向一個本地的非互聯網地址，這表明它可能只是未來攻擊的概念驗證。

盡管 Twitter 沒有托管任何惡意內容，推文也不會導致惡意軟件感染，但使用社交媒體來作為與惡意軟件通信的方式，這的確是一種有趣的方式（但也算不上獨一無二）。

其中的邏輯是這樣的：通過使用 Twitter，惡意軟件將跟“ twitter.com ”進行連接，跟其他似是而非的服務器地址相比，這個網址不太可能遭到反惡意軟件的標記或攔截。

在趨勢科技曝光了上述 Twitter 賬戶之后，Twitter 已經 永久性地凍結 了該賬戶。

這不是惡意軟件或僵尸網絡幕后黑手第一次使用 Twitter 作為他們與自己網絡進行通信的平臺。 早在 2009 年 ，就曾有人把 Twitter 用作向僵尸網絡發送指令的渠道。在 較近的 2016 年 ，有一款安卓惡意軟件會跟預先確定的 Twitter 賬戶進行通信，以此接收指令。

圖片來源： Getty Images

翻譯：王燦均（ @何無魚 ）

New malware pulls its instructions from code hidden in memes posted to Twitter