信息化觀察網(wǎng)

趨勢(shì)科技的安全研究人員發(fā)現(xiàn)了一種新的惡意軟件，可以從攻擊者控制的Twitter帳戶上發(fā)布的表情包中檢索命令。通過這種方式，攻擊者很難檢測(cè)到與惡意軟件相關(guān)的流量，顯示出的都是合法的Twitter流量。

使用合法的Web服務(wù)來控制惡意軟件并不新鮮，過去的騙子使用Gmail，DropBox，PasteBin等合法服務(wù)來控制惡意代碼。趨勢(shì)科技發(fā)現(xiàn)的惡意軟件利用隱寫術(shù)來隱藏Twitter上發(fā)布的表情包中嵌入的命令。隱寫術(shù)是一種隱藏圖像文件中的代碼的技術(shù)，不是在Twitter上獨(dú)有的攻擊形式。多年來，網(wǎng)絡(luò)犯罪分子在圖像文件中嵌入了惡意代碼，通常分布在電子郵件malspam廣告系列中。然而，這是迄今為止僅使用表情包的第一個(gè)例子，它本質(zhì)上屬于病毒。

“這個(gè)新的威脅（檢測(cè)為TROJAN.MSIL.BERBOMTHUM.AA）值得關(guān)注，因?yàn)閻阂廛浖拿钍峭ㄟ^合法服務(wù)（也是一個(gè)流行的社交網(wǎng)絡(luò)平臺(tái)）接收的，使用看似友好其實(shí)惡意的表情包，以及除非禁用惡意Twitter帳戶，否則無法刪除它。截至2018年12月13日，Twitter已將該帳戶下線。”

攻擊者在表情包中隱藏了“/print”命令，它允許他們截取受感染機(jī)器的屏幕截圖并將其發(fā)送回C＆C服務(wù)器，該服務(wù)器的地址通過pastebin.com上的硬編碼URL獲得。BERBOMTHUM惡意軟件檢查攻擊者使用的Twitter帳戶，下載和掃描meme文件，并提取它們包含的命令。

不法分子使用的Twitter帳戶創(chuàng)建于2017年，僅包含10月25日和26日發(fā)布的兩條內(nèi)容。這些圖像用于向惡意軟件發(fā)送“/print”命令。惡意軟件當(dāng)前處于開發(fā)階段早期，Pastebin鏈接指向本地表明這或許只是攻擊者的測(cè)試，推文內(nèi)容無法單獨(dú)引發(fā)感染，它們只是激活已經(jīng)被感染的機(jī)器的渠道。