Phần mềm độc hại lây lan qua meme trên Twitter

InternetPosted on

Các nhà nghiên cứu bảo mật đã phát hiện ra một phương thức tấn công mới: Nhận lệnh chạy phần mềm độc hại lây lan qua meme trên Twitter.

securitydailty_Phần mềm độc hại trên Twitter

Các nhà nghiên cứu của Trend Micro đã phát hiện ra một phần mềm độc hại mới hoạt động theo cách lấy các lệnh từ các hình meme được đăng trên tài khoản Twitter do những kẻ tấn công kiểm soát.

Hầu hết các phần mềm độc hại phụ thuộc vào máy chủ chỉ huy và kiểm soát (command-and-control) để nhận hướng dẫn và thực hiện các tác vụ khác nhau trên các máy tính bị tấn công.

Vì các công cụ bảo mật theo dõi lưu lượng truy cập mạng để phát hiện các địa chỉ IP độc hại, những kẻ tấn công tăng cường sử dụng các trang web và máy chủ hợp pháp làm cơ sở hạ tầng trong các cuộc tấn công để giúp phần mềm độc hại khó bị phát hiện hơn.

Trong vụ việc vừa bị phát hiện gần đây, tin tặc sử dụng kỹ thuật Steganography Notta để ẩn nội dung trong một hình ảnh đồ họa kỹ thuật số nhằm ẩn các lệnh độc hại được nhúng vào hình meme đăng trên Twitter. Lệnh đó sau đó sẽ được phần mềm độc hại phân tích và thực thi.

Mặc dù phần mềm độc hại lây lan qua meme trông giống như hình ảnh bình thường đối với mắt người, tuy nhiên lệnh “/ print” đã bị ẩn trong siêu dữ liệu của tệp sau đó điều khiển phần mềm độc hại gửi ảnh chụp màn hình của máy tính bị tấn công đến máy chủ chỉ huy và kiểm soát từ xa.

Phần mềm độc hại lây lan qua meme có tên “TROJAN.MSIL.BERBOMTHUM.AA” đã được thiết kế để kiểm tra tài khoản Twitter của kẻ tấn công, sau đó tải xuống và quét các tệp meme (hình ảnh) để tìm các lệnh bí mật.

securitydaily_phần mềm độc hại trên twitter

Theo các nhà nghiên cứu của Trend Micro, tài khoản Twitter của kẻ tấn công được tạo vào năm 2017 và chỉ chứa hai memes được đăng vào ngày 25 và 26 tháng 10. Các hình meme này đã thực hiện các lệnh “/ print” hướng dẫn phần mềm độc hại chụp ảnh màn hình.

Phần mềm độc hại sau đó gửi ảnh chụp màn hình đến máy chủ chỉ huy và kiểm soát, có địa chỉ được lấy thông qua một URL “được hard-coded” trên trang web Pastebin.

Bên cạnh việc chụp ảnh màn hình, phần mềm độc hại lây lan qua meme cũng có thể thực hiện một loạt các lệnh khác, chẳng hạn như lấy danh sách các quy trình đang chạy, lấy tên tài khoản của người dùng đã đăng nhập, lấy tên tệp từ các thư mục cụ thể trên máy bị tấn công…

Phần mềm độc hại lây lan qua meme đang ở giai đoạn đầu phát triển vì liên kết pastebin dẫn đến một địa chỉ IP riêng tư.

Điều đáng chú ý là phần mềm độc hại lây lan qua meme không được tải xuống trực tiếp từ Twitter và các nhà nghiên cứu hiện chưa tìm thấy cơ chế cụ thể giúp kẻ tấn công khai thác được máy tính nạn nhân.

Tin vui là tài khoản Twitter được sử dụng để phân phối các meme độc hại dường như đã bị vô hiệu hóa, nhưng vẫn chưa rõ ai là kẻ đứng sau phần mềm độc hại này và cách mà tin tặc bí ẩn đang lây lan phần mềm độc hại.