這樣也行!惡意程式逛小甜甜的 IG 等候攻擊指令

作者 | 發布日期 2017 年 06 月 12 日 18:14 | 分類 網路趣聞 , 資訊安全 follow us in feedly

惡意程式和防毒軟體玩躲貓貓不稀奇,但跑到藝人社交帳號去就稀奇了。根據防毒公司 Eset 研究員的報告,駭客運用在小甜甜布蘭妮 IG 留下特定內容的留言,指揮旗下惡意程式下一步指令。




Eset 的報告指出俄國 APT 駭客集團 Turla,運用偽裝為防護電腦的 Firefox 套件,實際上是惡意程式,侵入安裝套件的電腦,進而控制感染的電腦。該套件不直接在執行的程式碼寫出要聯繫的中央指揮所位置,而是讀取特定的小甜甜布蘭妮官方 Istatgram 留言。由於 Turla 未指名他們指揮中心的位置,變得非常難以追查 Turla 集團來源。

一般惡意程式常透過 bit.ly 縮網址在惡意程式中隱藏真正的指揮中心,但 Turla 放在小甜甜 IG 的字串,還得經過 regular expression 搜尋「(?:\u200d(?:#|@)(\w)」,再經過加密 hash 運算,如果算出來是 183,得到的 bit.ly 縮網址才會指向指揮中心,依據指揮中心的指示進行下一步行動。

▲ Turla 透過在小甜甜布蘭妮特定的 Instagram 貼文(https://www.instagram.com/p/BO8gU41A45g/)下面的留言,指出實際的惡意程式指揮中心。

▲ 由於 bit.ly 縮網址的數據是公開看得到,因此我們看到 http://bit.ly/2kdhuHX 指向的真正網址有 17 次轉向次數。

如今 Firefox 瀏覽器已經修改架構,因此 Turla 的套件已無法運作。但可以預期當 Turla 新版本惡意程式出來,將跟以往的版本相差很大。

(首圖來源:Pixabay)