Nuevo malware detecta comandos desde memes posteados en Twitter.

Investigadores de seguridad han descubierto otro ejemplo de cómo los delincuentes cibernéticos disfrazan sus actividades de malware como tráfico regular mediante el uso de servicios legítimos basados en la nube.

Los investigadores de Trend Micro han descubierto una nueva pieza de malware que recupera los comandos de los memes publicados en una cuenta de Twitter controlada por los atacantes.
La mayoría de los programas maliciosos se basan en la comunicación con su servidor de comando y control para recibir instrucciones de los atacantes y realizar diversas tareas en las computadoras infectadas.

Como las herramientas de seguridad vigilan el tráfico de la red para detectar direcciones IP maliciosas, los atacantes utilizan cada vez más sitios web y servidores legítimos como infraestructura en sus ataques para hacer que el software malicioso sea más difícil de detectar.

En el esquema malicioso recientemente descubierto, que según los investigadores se encuentra en su etapa inicial, los ciberdelincuentes utilizan la esteganografía, una técnica para ocultar contenidos dentro de una imagen gráfica digital de tal manera que es invisible para un observador, para ocultar los comandos maliciosos incrustados en un meme publicado en Twitter, que luego el malware analiza y ejecuta.

Aunque el meme de Internet parece una imagen normal para los ojos humanos, el comando "/ print" está oculto en los metadatos del archivo, que luego solicita al malware que envíe una captura de pantalla de la computadora infectada a un servidor remoto de comando y control.

TrendMicro descubrió que una vez que el malware se haya ejecutado en una máquina infectada, podrá descargar los memes maliciosos de la cuenta de Twitter a la máquina de la víctima. Luego extraerá el comando dado. En el caso del comando "/print" oculto en los memes, el malware toma una captura de pantalla de la máquina infectada. A continuación, obtiene la información del servidor de control de Pastebin. Posteriormente, el malware envía la información recopilada o la salida del comando al atacante al subirla a una dirección URL específica.


El malware luego analiza el contenido de la cuenta maliciosa de Twitter y comienza a buscar un archivo de imagen usando el patrón: “<img src = \” (. *?): Thumb \ ”width = \”. *? \ ”Height = \ ". *? \" /> ”En la cuenta.


En el momento del análisis, los dos memes (DqVe1PxWoAIQ44B.jpg y DqfU9sZWoAAlnFh.jpg) contenían el comando "print". Los comandos incorporados indican al malware que realice varias operaciones en la máquina infectada, como realizar capturas de pantalla, recopilar información del sistema, entre otras, como se describe a continuación.

Una vez que el malware descarga la imagen, intenta extraer el comando que comienza con el carácter "/".


El malware parece estar en las primeras etapas de su desarrollo, ya que el enlace de pastebin apunta a una dirección IP privada local, "que es posiblemente un marcador de posición temporal utilizado por los atacantes".

Vale la pena señalar que el malware no se descargó de Twitter y que los investigadores actualmente no han encontrado qué mecanismo específico fue utilizado o podría ser utilizado por los atacantes para enviar el malware a las computadoras de las víctimas.

La buena noticia es que la cuenta de Twitter utilizada para entregar los memes maliciosos parece haber sido desactivada, pero aún no está claro quién está detrás de este malware y cómo el misterioso hacker estaba circulando el malware.