Ruski malver u komentarima na Instagram stranici Britni Spirs

Vesti, 09.06.2017, 00:30 AM

Instagram je na putu da ove godine dostigne cifru od milijardu korisnika a tolika popularnost donosi i mnogo saobraćaja. Među mnogo bezazlenih komentara koje objavljuju stotine hiljada korisnika, nalaze se i komentari koji su uputstvo za jedan malver o tome kako da ostane u kontaktu sa onima koji ga kontrolišu. Na ovo su upozorili istraživači iz kompanije ESET koji su primetili takve komentare ispod fotografije Britni Spirs među skoro 7000 drugih komentara. Komentari na koje su ukazali stručnjaci ESET-a lako bi mogli proći kao spam, ali ipak se ne radi o spamu.

Sajber kriminalci iz grupe Turla koji godinama napadaju kompanije, obaveštajne službe i državne institucije, koriste komentare na Instagram profilu Britni Spirs da bi koordinisali napade. Oni ustvari koriste malicioznu ekstenziju za Firefox u kojoj se nalazi malver, a koja je prestavljena kao sigurnosna funkcija. Ekstenzija treba da obezbedi "zadnja vrata" na sistemima ciljeva.

Ekstenzija je nazvana "HTML5 Encoding 0.3.7". Ona ima backdoor komponentu koja prikuplja informacije o napadnutom sistemu, koje zatim šalje komandno-kontrolnom (C&C) serveru, otprema i preuzima fajlove sa C&C servera i čita sadržaj foldera.

Ekstenzija je preuzimana sa kompromitovanog web sajta neimenovane švajcarske kompanije koja se bavi informatičkom bezbednošću. Ekstenzija koristi bit.ly URL da bi došla do svog C&C servera. URL nije uključen u kod ekstenzije, već se nalazi u komentaru ispod fotografije objavljene na Instagram profilu američke pevačice Britni Spirs.

Ekstenzija proverava sve komentare da bi pronašla komentar koji će kod malvera pretvoriti u bit.ly URL stranice na koju se usmeravaju žrtve. Do sada je bilo svega 17 klikova na link, što može da znači da grupa testira komandi sistem, i da je kampanja napada koja je vodila žrtve do ekstenzije bila izuzetno limitirana.

Istraživači iz ESET-a veruju da je ova ekstenzija ažuriranje prethodne koja je opisana u izveštaju kompanije Bitdefender, objavljenom prošle godine.

Ipak ova ekstenzija neće još dugo biti funkcionalna jer API koje koristi ekstenzija će nestati u narednim verzijama.

Turla APT je ruska kriminalna grupa koja se bavi sajber špijunažom. Niko sa sigurnošću ne može da tvrdi za koga radi grupa - za rusku državu ili za svoj račun krade informacije koje zatim prodaje onome ko ponudi najviše za njih.

Grupa je aktivna već deceniju, a možda i više. Njeni ciljevi su državne institucije, ambasade, vojske, istraživačke i obrazovne institucije i farmaceutske kompanije.

Turla koristi 0-day exploite, društveni inženjering i "watering hole" tehnike za kompromitovanje računara svojih ciljeva koji rade sa Windows, Linux i Mac OS.

I pre ovoga, grupa je koristila neke druge neuobičajene metode da bi sakrila lokaciju svojih komandno-kontrolnih servera.

Istraživač kompanije ESET Žan Jan Butin kaže da korišćenje društvenih mreža na ovakav način otežava odbranu, jer je teško razlikovati zlonamerni saobraćaj ka društvenim mrežama od legitimnog saobraćaja. Osim toga, to napadačima obezbeđuje više fleksibilnosti kada je u pitanju promena C&C adrese kao i lakše brisanje svih tragova.

ESET je o ovom obavestio Mozillau koja pokušava da spreči da se ekstenzije za Firefox kompromituju na ovakav način.

Kada sledeći put na Instagramu objavite svoj selfi, i primetite neki komentar koji izgleda kao spam, setite se da bi to mogao biti kanal komunikacije nekog malvera.