新型惡意軟件可從 Twitter 表情包隱藏的代碼中獲取指令

安全研究人員表示，他們發(fā)現(xiàn)了一種新型惡意軟件，它可以從 Twitter 表情包隱藏的代碼中獲取指令。

惡意軟件本身相對平庸：跟大多數(shù)原始的遠(yuǎn)程訪問特洛伊木馬（RAT）一樣，該惡意軟件會悄然感染存在漏洞的計(jì)算機(jī)，對屏幕進(jìn)行截圖并從受感染的系統(tǒng)中盜取其他數(shù)據(jù)，并發(fā)回到惡意軟件的命令和控制服務(wù)器。

有趣的地方在于，該惡意軟件把 Twitter 用作與其控制中樞進(jìn)行通信的渠道。

網(wǎng)絡(luò)安全廠商趨勢科技（Trend Micro）在 一篇博客文章 中表示，該惡意軟件會聽從一個(gè) Twitter 賬戶發(fā)出的指令，而該賬戶屬于惡意軟件的幕后黑手。研究人員發(fā)現(xiàn)，有兩條推文使用信息隱藏技術(shù)在表情包圖像中隱藏了“/print”指令，該指令是讓惡意軟件截取受感染計(jì)算機(jī)的屏幕圖像。然后，惡意軟件會從發(fā)布在 Pastebin 的一則帖子中獲取命令和控制服務(wù)器所在的地址，把屏幕截圖發(fā)送過去——毫無疑問，創(chuàng)意上可以給滿分。

研究人員表示，發(fā)布到 Twitter 的表情包中可能包含了其他指令，比如獲取當(dāng)前運(yùn)行應(yīng)用和進(jìn)程列表的“/processos”，盜取用戶剪貼板內(nèi)容的“/clip”，以及從特定文件夾檢索文件名的“/docs”。

根據(jù)惡意軟件分析服務(wù) VirusTotal 完成的 哈希分析 ，該惡意軟件最初似乎出現(xiàn)在 10 月中旬，也就是 Pastebin 上那則帖子 首次創(chuàng)建的時(shí)間。

但研究人員坦承，他們并不知道所有的答案，要完全搞清楚這個(gè)惡意軟件還需要做更多的工作。目前尚不清楚這個(gè)惡意軟件來自哪里，它如何感染受害者，以及幕后黑手是誰。同樣不清楚的還有這個(gè)惡意軟件意欲何為，或者說它的未來用途是什么。此外，研究人員也不知道為什么 Pastebin 上的那則帖子要指向一個(gè)本地的非互聯(lián)網(wǎng)地址，這表明它可能只是未來攻擊的概念驗(yàn)證。

盡管 Twitter 沒有托管任何惡意內(nèi)容，推文也不會導(dǎo)致惡意軟件感染，但使用社交媒體來作為與惡意軟件通信的方式，這的確是一種有趣的方式（但也算不上獨(dú)一無二）。

其中的邏輯是這樣的：通過使用 Twitter，惡意軟件將跟“ twitter.com ”進(jìn)行連接，跟其他似是而非的服務(wù)器地址相比，這個(gè)網(wǎng)址不太可能遭到反惡意軟件的標(biāo)記或攔截。

在趨勢科技曝光了上述 Twitter 賬戶之后，Twitter 已經(jīng) 永久性地凍結(jié) 了該賬戶。

這不是惡意軟件或僵尸網(wǎng)絡(luò)幕后黑手第一次使用 Twitter 作為他們與自己網(wǎng)絡(luò)進(jìn)行通信的平臺。 早在 2009 年 ，就曾有人把 Twitter 用作向僵尸網(wǎng)絡(luò)發(fā)送指令的渠道。在 較近的 2016 年 ，有一款安卓惡意軟件會跟預(yù)先確定的 Twitter 賬戶進(jìn)行通信，以此接收指令。

圖片來源： Getty Images

翻譯：王燦均（ @何無魚 ）

New malware pulls its instructions from code hidden in memes posted to Twitter