close
惡意程式和防毒軟體玩躲貓貓不稀奇,但跑到藝人社交帳號去就稀奇了。根據防毒公司 Eset 研究員的報告,駭客運用在小甜甜布蘭妮留下特定內容的留言,指揮旗下惡意程式下一步指令。
Eset 的報告指出俄國 APT 駭客集團 Turla,運用偽裝為防護電腦的 Firefox 套件,實際上是惡意程式,侵入安裝套件的電腦,進而控制感染的電腦。該套件不直接在執行的程式碼寫出要聯繫的中央指揮所位置,而是讀取特定的小甜甜布蘭妮官方 Istatgram 留言。由於 Turla 未指名他們指揮中心的位置,變得非常難以追查 Turla 集團來源。
檢視相片
▲ Turla 透過在小甜甜布蘭妮特定的 Instagram 貼文 https://www.instagram.com/p/BO8gU41A45g/ 下面的留言,指出實際的惡意程式指揮中心。
一般惡意程式常透過 bit.ly 縮網址在惡意程式中隱藏真正的指揮中心,但 Turla 放在小甜甜 IG 的字串,還得經過 regular expression 搜尋「?:\u200d?:#|@\w」,再經過加密 hash 運算,如果算出來是 183,得到的 bit.ly 縮網址才會指向指揮中心,依據指揮中心的指示進行下一步行動。
檢視相片
▲ 由於 bit.ly 縮網址的數據是公開看得到,因此我們看到 http://bit.ly/2kdhuHX 指向的真正網址有 17 次的轉向次數。
如今 Firefox 瀏覽器已經修改架構,因此 Turla 的套件已經無法運作。但可以預期當 Turla 的新版本惡意程式出來,將跟以往的版本相差很大。
You’ll never guess where Russian spies are hiding their control servers
Turla’s watering hole campaign: An updated Firefox extension abusing Instagram
Russian malware communicates by leaving comments in Britney Spears’s Instagram account
全站熱搜
留言列表
