Saltar al contenido
Anuncios

Nuevo malware es controlado a través de memes en Twitter ¿WTF?

BERBOMTHUM - malware controlado mediante memes en Twitter

Los hackers…vaaale, los cibercriminales -no lo olvidéis 😉 – suelen sorprendernos por su originalidad y este es uno de esos casos. Investigadores de Trend Micro han destapado un nuevo malware que recibía los comandos de control a través de memes posteados en la red social Twitter, bajo una cuenta controlada por los atacantes.

De esta manera se aseguraban que la detección del tráfico hacia el malware fuera difícil de detectar, al aparecer como tráfico legítimo en Twitter.

Malware controlado por memes en Twitter

Es más original por el uso de los memes que por utilizar un servicio legítimo para distribuir los comandos, porque recordemos que en ocasiones anteriores ya se ha hecho a través de Gmail, Yahoo, DropBox, Pastebin, etcétera.

Dicho malware se apoya en técnicas de esteganografía para esconder los comandos enviados mediante redes sociales:

Esta nueva amenaza (detectada como TROJAN.MSIL.BERBOMTHUM.AA) es notable porque los comandos del malware son recibidos mediante una vía legítima (una popular red social), empleando el uso de memes aparentemente benignos, y no puede ser detenida salvo que dicha cuenta sea deshabilitada.

Twitter ya ha cerrado la cuenta a fecha 18 de Diciembre.

La esteganografía al servicio del criminal

Los atacantes escondieron por ejemplo el comando /print en los memes, permitiendo sacar capturas de las máquinas afectadas y así enviarlos de vuelta a los servidores C&C (Comando y Control) cuya URL era obtenida a través de URLs hardcodeadas mediante Pastebin.com.

BERBOMTHUM - malware controlado mediante memes en Twitter

El malware BERBOMTHUM comprobaba la cuenta de Twitter usada por los atacantes, descargaba y escaneaba los archivos de meme y extraía el comando incluido. Dicha cuenta fue creada en 2017 y contenía solamente dos memes posteados entre el 25 y 26 de Octubre de 2018. Las imágenes se utilizaron para distribuir los comandos “/print” hacia los servidores de los cibercriminales.

Comandos soportados por BERBOMTHUM

/print: captura de pantalla
/processos: lista de procesos en ejecución
/clip: captura del portapapeles
/username nombre de usuario del pc afectado
/docs: recuperación de ficheros de rutas predefinidas en las variables de sistema, como %AppData% y similares.

Según Trend Micro este malware se encuentra en sus primeras fases de desarrollo.

 

Anuncios

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

A %d blogueros les gusta esto: