В ходе недавней киберпреступной операции хакерская группировка Turla использовала достаточно необычный троян. Вредоносное ПО маскируется под расширение для Firefox и хранит данные о расположении своего C&C-сервера в комментарии под фото Бритни Спирс в Instagram.
Как сообщают эксперты из компании ESET, обнаруженное ими вредоносное расширение является частью гораздо более обширного арсенала хакерских инструментов, имеющегося в распоряжении кибершпионской группировки Turla.
Как правило, для распространения вредоносного ПО группировка использует взломанные сайты, загружающие на систему жертвы код, который в свою очередь загружает и выполняет вредоносные файлы. Такие атаки известны как «drive-by» и используются операторами наборов эксплоитов, а также в ходе рекламных и кибершпионских кампаний.
Исследователи выявили вредоносное расширение для Firefox на взломанном ресурсе одной из швейцарских компаний. Когда пользователь заходит на сайт, он видит предложение установить расширение HTML5 Encoding, представляющее собой написанный на JavaScript простой бэкдор, который сообщает своим операторам об активности пользователя.
По мнению специалистов, атаки с использованием HTML5 Encoding являются тестовыми. К такому выводу они пришли по той причине, что расширение использует короткий URL-адрес C&C-сервера, созданный с помощью сервиса Bit.ly, благодаря чему исследователи смогли определить, сколько раз к URL получали доступ. Как оказалось, по адресу обращались всего лишь 17 раз, а значит, расширение практически не использовалось.
Как было упомянуто выше, спрятанный в расширении бэкдор подключается к C&C-серверу через комментарий к фотографии Бритни Спирс в Instagram. Вредонос ищет комментарии со значением хеша 183. Такое значение есть только у одного комментария, содержащего скрытые символы, указывающие на адрес домена C&C-сервера.
Примечательно, что скрин, который использовал securitylab.ru для сопровождения этой публикации включает фото, которого на данный момент на странице Бритни Спирс в Instagram нет. Но в независимости от того, было фото удалено или же то была неофициальная страница певицы, на подобную информацию стоит обращать внимание, потому как и безобидные на вид комментарии, как выяснилось, могут скрывать в себе не самые приятные сюрпризы.
Источник http://www.securitylab.ru/