La empresa
Trend Micro ha sido la descubridora de este novedoso tipo de ataque que recoge
los comandos de una cuenta de Twitter controlada por los atacantes.
¿Cuál es el malware en cuestión?
El malware
utilizado es denominado “TROJAN.MSIL.BERBOMHTHUM.AA“. Su forma de trabajo es
infectar un equipo, y tras ello descargar las imágenes que contienen las
instrucciones a seguir.
¿Que información sacan de las imágenes?
Los memes
publicados en la cuenta hacían uso de técnicas de Esteganografía para ocultar
los comandos que ejecutaba el malware. Estos, tras ejecutar las instrucciones,
accedían a una publicación de Pastebin para conseguir la dirección del servidor
al que enviaban la información robada.
Según los
investigadores, la cuenta de Twitter analizada se creó en 2017 y contenía solo
dos memes que entregaban comandos “/ print” al malware para indicarle que
realizara capturas de pantalla.
Este
malware mandaba las capturas al servidor C&C sacado de la URL de Pastebin
facilitada en la imagen.
¿Desde cuando se realiza este tipo de ataque?
Según
VirusTotal, el malware surgió a mediados de octubre, pues fue cuando se creó la
publicación en Pastebin.
Sin
embargo, en los memes analizados, la dirección del servidor es local, lo que
hace pensar que los ciberdelincuentes aún se encontraban realizando pruebas con
el mismo antes del ataque.
Tras el reporte
realizado por TrendMicro, Twitter tomó cartas en el asunto y cerró la cuenta
involucrada.
Más información:
- Post de TrendMicro: https://blog.trendmicro.com/trendlabs-security-intelligence/cybercriminals-use-malicious-memes-that-communicate-with-malware/
Fuente: Hispasec