Вирус-шпион Hammertoss управляется с помощью сообщений Twitter

22:48 29.07.2015

|   1259 прочтений



Эксперты FireEye предполагают, что вредонос создан хакерами из России, так как работает по московскому времени и «отдыхает» в российские выходные.

 

Специалисты компании FireEye, занимающейся защитой сетей, сообщили об обнаружении у одного из клиентов вредоноса Hammertoss, деятельность которого маскируется необычными способами.

Hammertoss ежедневно генерирует пользовательские имена, подходящие для регистрации аккаунтов Twitter. Для связи с вредоносом хозяева регистрируют соответствующий аккаунт и публикуют сообщение c хэштегом и ссылкой на изображение на другом сервере. В картинке методами стеганографии закодировны инструкции для Hammertoss, которые тот расшифровывает, формируя ключ с использованием хэштега. В составе посланий для вредоноса исследователи нашли закодированные команды Powershell, указания по сохранению краденого контента на облачных серверах и инструкции по запуску файлов.

Атакующие пользуются тем, что исходящий трафик к Twitter в организациях обычно не блокируют, а сами сообщения к Hammertoss могут мгновенно удаляться после считывания, что дополнительно усложняет расследование атаки. Чтобы не выделяться на фоне общего «шума», Hammertoss активен только в рабочее время дня.

В FireEye предполагают, что Hammertoss создан хакерами из России, так как вредонос работает по московскому времени и «отдыхает» в российские выходные.


Теги: Информационная безопасность Twitter Вредоносный код
На ту же тему: