Reading Time: 2 minutes
Novo malware é comandado através de publicações de imagens meme no Twitter, diz a Trend Micro.

Investigadores da Trend Micro detetaram uma nova linha de malware que utiliza como C2 os memes partilhados numa conta do Twitter controlada pelos atacantes.

Dessa forma, os invasores dificultam a detecção de tráfego associado ao malware, que neste caso parece ser tráfego legítimo associado ao Twitter.

O uso de serviços web legítimos para controlar malware não é novidade, os criminosos no passado usavam serviços como o Gmail, DropBox, PasteBin e agora também o Twitter para controlar códigos maliciosos.

O malware descoberto pela Trend Micro aproveita-se da técnica esteganografia para ocultar os comandos C2  num meme publicado no Twitter.

“This new threat (detected as TROJAN.MSIL.BERBOMTHUM.AA) is notable because the malware’s commands are received via a legitimate service (which is also a popular social networking platform), employs the use of benign-looking yet malicious memes, and it cannot be taken down unless the malicious Twitter account is disabled.” reads the post published by Trend Micro.

“Twitter has already taken the account offline as of December 13, 2018.”

 

Os criminosos ocultaram o comando “/print” nos memes. Este comando permite que eles façam capturas do ecrã das máquinas infetadas e as enviem para um servidor C&C cujo endereço é obtido por meio de um URL embutido num código disponível no pastebin.com.

O malware, batizado como BERBOMTHUM verifica a conta do Twitter usada pelos atacantes, faz o download e verifica os ficheiros meme e extrai o comando que eles incluem.

A conta do Twitter usada pelos criminosos foi criada em 2017 e continha apenas dois memes, publicados em 25 e 26 de outubro. As imagens foram usadas para entregar os comandos “/print” ao malware.

twitter-meme-malware

 

Abaixo segue a lista de comandos suportados pelo malware:

commands

 

De acordo com os investigadores da Trend Micro, o malware está ainda numa fase de estágio inicial e  portanto ainda se encontra em desenvolvimento.

Ver report da Trend Micro aqui.