אבטחה וסייבר

נוזקה חדשה מנצלת ממים בטוויטר

חוקרי אבטחה מחברת Trend Micro זיהו נוזקה חדשה, השולפת פקודות הפעלה מ- ממים ברשתות חברתיות.

רוב הנוזקות מסתמכות על תקשורת עם "מרכז השליטה" שלהם, שזהו לרוב שרת מרוחק, ע"מ לקבל פקודות הפעלה לביצוע מטלות שונות על מחשבים נגועים (כגון שליחת תמונות מסך, לחיצות מקלדת ועכבר ועוד). מכיוון שכלי אבטחה מנתרים תקשורת רשת לזהות כתובות IP חשודות, תוקפים משתמשים יותר ויותר באתרים לגיטימיים ומפורסמים כחלק מהמתקפה שלהם ע"מ להקשות על איתור הנוזקות.

הנוזקה החדשה, שלפי חוקרי האבטחה נמצאת בשלבים מוקדמים של הפיתוח, משתמשת בסטנוגרפיה, שזוהי בעצם טכניקה להטמעת הסתרת מידע בתוך תמונות דיגיטליות בצורה כזו שמתבונן לא יכול לראות אותו, ובמקרה הזה, הנוזקה משתמשת ב- ממים שפורסמו בטוויטר, מהם היא מקבלת את פקודות ההפעלה שלה.

למרות שהמם נראה תמים לעיניים אנושיות, מסתתרת הפקודה “/print” בתוך ה- Metadata של הקובץ, ובמקרה של הנוזקה הזו, פוקדת על הנוזקה לשלוח תמונת מסך של המחשב הנגוע ל"מרכז הבקרה" המרוחק.

במקרה הזה, הנוזקה לה נתנו החוקרים את השם “TROJAN.MSIL.BERBOMTHUM.AA” תוכנתה כך שהיא בודקת את חשבון הטוויטר של התוקף, ומורידה וסורקת ממים שפורסמו שם ע"מ לקבל את פקודות ההפעלה שלה.

לפי חוקרי האבטחה של Trend Micro, חשבון הטוויטר במקרה הזה נוצר בשנת 2017 ובו פורסמו 2 ממים שפורסמו ב- 25 וב- 26 לאוקטובר שהכילו את הפקודה “/print”. הנוזקה אז שולחת את תמונות המסך לשרת מרוחק, שכתובתו נלקחת מ- URL שפורסם באתר Pastebin. נכון לעכשיו ה- URL הנ"ל מצביע לכתובת IP פרטית מה שגורם לחוקרים להניח כי ככל הנראה מדובר בכתובת זמנית ("מחזיק מקום").

חוץ מלקחת תמונות מסך, הנוזקה יכולה גם לקבל פקודות אחרות כגון שליפת רשימת התוכנות ושירותים הרצים במחשב, לקחת את שם המשתמש של משתמש המחשב, לקחת קבצים מסוימים וכן לקחת את מה שיש למשתמש ב- Clipboard.

חשוב לציין שהנוזקה עצמה לא מופצת בטוויטר, וכרגע החוקרים לא מצאו את מנגנון הפצת הנוזקה עצמה.

החדשות הטובות הן שהחשבון בטוויטר בו פורסמו הממים עם הפקודות הנסתרות הוסר ע"י החברה, אבל עדיין לא ברור מי עומד מאחורי הנוזקה.

מקור
TheHackerNews

דוד

חובב מחשבים מושבע מה-386 הראשון, בין אם חומרה, תוכנה או משחקים. מהנדס תוכנה (B.Sc, M.Sc) ביום-יום עובד כ- CTO בסטארטאפ בו אני בין המייסדים.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

Back to top button