Expansão

Através de uma conta controlada pelos atacantes no twitter, o malware seguia o seu propósito escapando à deteção do tráfego malicioso mais facilmente, já que o mesmo parecia ser legítimo.

Como funcionava

A técnica utilizada neste caso para disfarçar o malware nos memes era essencialmente a esteganografia, através da qual os comandos estavam escondidos num meme postado no twitter. Esta ameaça, segundo os investigadores, seguia pelo nome de TROJAN.MSIL.BERBOMTHUM.AA.

Os próprios memes utilizados não pareciam de todo maliciosos, sendo por isso que a conta não foi logo eliminada, de acordo com os investigadores.

Comandos, por exemplo, como o print permitiam tirar screenshots à máquina infetada e enviá-los a um servidor de comando e controlo, cujo endereço se iria obter a partir de um URL no pastebin.com.

O malware verificava a conta do twitter usada, fazia download e scanava os ficheiros memes e extraia o comando.

Comandos

--> /print: sacar screenshots

--> /processos: ver os processos a correr no sistema

--> /clip: reiniciar o clipboard

--> /username: devolver o username da máquina

--> /docs: devolver nome de ficheiros a partir de um destino, tipo Ambiente de Trabalho

Nota: a conta foi eliminada no passado dia 13 deste mês.

Mais informações aqui: https://threatpost.com/hidden-code-in-memes-instruct-malware-via-twitter/140047/