Saltar al contenido

El increíble lugar donde los hackers rusos ocultaron el enlace de su centro de control de malware

Bytes cortos: Los investigadores han vinculado un grupo de hackers ruso llamado Turla a una extensión de Firefox malintencionada que se comunica con su servidor de C&C utilizando las cuentas de redes sociales. Se sabe que el malware utilizó el comentario en una publicación de Instagram de Britney Spears para descifrar el valor de hash para el C&C presente en un comentario.

TLos investigadores de seguridad de Eset han descubierto una extensión maliciosa de Firefox que puede robar datos de las computadoras de las personas. Lo sorprendente es la forma en que envía la información recopilada a su servidor de C&C, vinculada al grupo de hackers ruso Turla. suscribir a Fossbytes

Los investigadores dicen que encontraron una implementación previa de la extensión mientras navegaban en un informe de APT del Pacificador de BitDefender que describe una campaña de pesca submarina realizada por Turla.

Los investigadores dijeron que la extensión es una puerta trasera de Javascript y tiene funciones similares, pero su implementación es diferente de la que se menciona en el informe. La extensión de Firefox terminó en dispositivos de usuarios confiados a través del sitio web comprometido de una empresa de seguridad suiza.

El componente de puerta trasera de la extensión de apariencia inocente incluye los siguientes comandos:

  • ejecutar archivo binario
  • subir archivo a C&C
  • descargar desde C&C
  • lea el contenido del directorio: envíe un listado de archivos, junto con los tamaños y las fechas, a C&C

Según los investigadores, la extensión de Firefox analiza los comentarios publicados en una publicación de Instagram, esta vez perteneciente a Britney Spears, para encontrar la ubicación del centro de comando y control. Curiosamente, la dirección directa de los C&C no se menciona en ninguna parte en el código de la extensión ni en el comentario que busca en una publicación de Instagram en particular.

Los investigadores describen el funcionamiento de la extensión de la siguiente manera:

La extensión verá el comentario de cada foto y calculará un valor de hash personalizado. Si el hash coincide con 183, ejecutará esta expresión regular en el comentario para obtener la ruta de la URL bit.ly:

(?: \ u200d (?: # | @) (\ w) Mirando los comentarios de la foto, solo había uno para el cual el hash coincide con 183. Este comentario se publicó el 6 de febrero, mientras que la foto original se publicó en a principios de enero. Tomando el comentario y ejecutándolo a través de la expresión regular, obtendrá la siguiente URL bit.ly:

En cuanto a los comentarios de la foto, solo había uno para el que el hash coincide con 183. Este comentario se publicó el 6 de febrero, mientras que la foto original se publicó a principios de enero. Tomando el comentario y ejecutándolo a través de la expresión regular, obtendrá la siguiente URL bit.ly:

http://bit.ly/2kdhuHX

Mirando un poco más de cerca la expresión regular, vemos que busca @ | # o el carácter Unicode 200d. Este personaje es en realidad un carácter no imprimible llamado ?Zero Width Joiner?, que normalmente se usa para separar los emojis. Pegando el comentario real o mirando su fuente, puede ver que este carácter precede a cada carácter que hace la ruta de la URL bit.ly:

smith2155# 2hot make loveid a su, uupss #Caliente #X

Al resolver este enlace acortado, conduce a static.travelclothes.org/dolR_1ert.php, que fue utilizado en el pasado como un pozo de agua C&C por la tripulación de Turla.

La extensión se descargó 17 veces en febrero de 2017, aproximadamente al mismo tiempo en que apareció el comentario en la publicación.

Los investigadores creen que esta extensión es una prueba en lugar de un aparato para un ataque masivo. Además, los desarrolladores de Firefox están actualizando los componentes y las API utilizadas por la extensión para comprometer a las personas.

?Por ejemplo, utiliza XPCOM para escribir archivos en el disco y sdk / system / child_process para iniciar un proceso. "Estos solo pueden ser utilizados por complementos que serán reemplazados por WebExtensions a partir de Firefox 57", escriben los investigadores en la publicación.

"A partir de esa versión, Firefox ya no cargará complementos, lo que evitará el uso de estas API".

Este tipo de modus operandi no es completamente nuevo. En el pasado, un grupo de hackers llamado Dukes se dirigió a las redes sociales y mostró un comportamiento similar. Los investigadores dijeron que tales métodos son difíciles de rastrear porque es difícil diferenciar el tráfico malicioso de las redes sociales y los atacantes tienen la facilidad de cambiar los C&C según su voluntad e incluso eliminar sus huellas.

"También es interesante ver que están reciclando una forma antigua de tomar las huellas dactilares de una víctima y encontrar nuevas formas de hacer que la recuperación de C&C sea un poco más difícil", concluyen los investigadores.

¿Tienes algo que añadir? Deja tus pensamientos y comentarios.

Califica este Articulo!