Malware brugte Britney Spears' Instagram-profil til at finde kontrolserveren

Illustration: Eset
I stedet for at skrive adressen til kontrolserveren i selve malware-koden, lå den gemt i en kommentar på Instagram.

En tilsyneladende harmløs kommentar til et Instagram-billede viste sig at rumme essentiel information for et stykke malware. En ondsindet Firefox-udvidelse brugte nemlig Instagram-kommentarer til at sørge for kommunikationen mellem de inficerede computere og kontrolserveren. Det skriver Ars Technica.

Malware, der skal stjæle information eller af andre grunde har behov for at kunne melde tilbage til bagmændene, benytter som regel disse kontrolservere til at aflevere stjålne data eller få nye instrukser. Derfor er det også et vigtigt led i at uskadeliggøre botnets og andre netværk af malware, at man lukker ned for kontrolserverne.

Af samme grund forsøger bagmændene sig med forskellige metoder til at kunne fortælle malwaren, hvis den skal skifte til en ny kontrolserver, og her har sikkerhedsfirmaet Eset på baggrund af en tidligere undersøgelse fra Bitdefender opdaget en usædvanlig metode.

Ifølge et blogindlæg fra Eset så benytter en variant af en trojansk bagdør, der installeres som en ondsindet Firefox-udvidelse, nemlig af adresser på kontrolservere gemt et sted, hvor alle kan se dem, hvis de ved, hvad de skal lede efter.

Syv tegn lirkes ud af kommentarer

Selve malwaren kender ikke adressen på kontrolserveren. Den ved blot, at der er tale om et Bit.ly-forkortet link - og at den skal kigge efter adressen i kommentarsporet på billeder på Britney Spears' Instagram-profil.

Malwaren kører kommentarerne gennem en særlig hashfunktion for at se, hvilke kommentarer der i det konkrete tilfælde giver værdien 183.

Derefter bruger den et regulært udtryk (regex) til at trække de tegn ud, som står lige efter Unicode-tegnet u200d, som er et blankt tegn med en bredde på nul. På den måde kan den få de syv tegn, der udgør den forkortede URL.

Det er tidligere set, at malware har benyttet Twitter som kommunikationsled mellem de inficerede enheder og kontrolserverne, men kombinationen af Instagram og en skjult adresse i kommentarsporet er usædvanligt.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere