Nowy wirus czyta instrukcje z memów na Twitterze

Przeczytaj także: Atakuje fałszywa MEGA do przeglądarki Chrome

Nowy wirus pojawił się w sieci u schyłku listopada minionego roku. To wówczas na dotychczas pustym koncie Twittera o nazwie “b0mb3rmc” opublikowano dwa memy. Jeden z nich przedstawiał Morfeusza, bohatera trylogii filmowej Matrix i opatrzony był cytatem: "A co, gdybym ci powiedział, że źródła nie są prawdziwe?" Kontekst tego hasła był w tym przypadku szczególny - okazało się bowiem, że Morfeusz nie zadawał tego pytania przypadkiem. Tam bowiem, gdzie użytkownik Twittera widział tylko zwykłą grafikę, ukryty na jego komputerze TROJAN.MSIL.BERBOMTHUM.AA dostrzegał i wykonywał złośliwy kod, który zaszyty był w jej metadanych.

Wykryty wirus bazuje na tzw. steganografię, czyli technice służącej nie ukrywaniu treści komunikatu (od tego jest kryptografia), ale samej jego obecności. Jest ona w stanie maskować komunikację tak skutecznie, jak tatuaże bohatera serialu “Skazany na śmierć” kryły mapę więzienia, do którego trafił. A cyberprzestępców przyciąga do niej potrzeba kamuflażu ich własnej łączności. Wiele zagrożeń odbiera instrukcje łącząc się z serwerami command-and-control (C&C). Pozwala to indywidualnie dyktować wirusowi działania w komputerze ofiary lub zautomatyzować cały proces obsługując równolegle tysiące cyberataków.

Łączność na linii wirus-serwer jest przy tym ciągle utrudniana, głównie przez antywirusy. Dzisiejsze rozwiązania bezpieczeństwa wielostronnie prześwietlają ruch sieciowy, wycinając podejrzane transmisje i blokując adresy IP znane z promowania szkodliwych treści. Sięgając po steganografię cyberprzestępcy testują komunikację kanałami, których widoczność w sieci nie wywoła alarmu, a już na pewno nie wzbudzi podejrzeń w social mediach czy streamie aktualności przeciętnego internauty.

Tak właśnie działa wspomniane zagrożenie wykryte przez firmę Trend Micro. Regularnie sprawdzało ono profil Twittera utworzony jeszcze w 2017 roku. Rozpoznając w tweecie grafikę, wirus pobierał ją na dysk komputera, by po przeskanowaniu metadanych wykonać ukryte w nich komendy. Jakie? Przykładowo instrukcja “/print” wykonuje i przesyła do serwera zagrożenia zrzut ekranu zarażonej maszyny. Nowy wirus może też udostępnić listę aktywnych procesów systemu użytkownika (ujawniając np. działanie konkretnego antywirusa), jego login Twittera, nazwy plików z określonych folderów na dysku i zawartość skopiowaną przez użytkownika do schowka. Czy na infiltracji się skończy?

- Prawdopodobnie obserwujemy wczesną wersję zagrożenia, ograniczoną do rekonesansu w systemie ofiary - mówi Bartosz Jurga, dyrektor sprzedaży firmy Xopero - Dla bezpieczeństwa trzeba jednak założyć, że kompletny wirus może wyrządzać realne szkody np. masowo kradnąc dane, włączając komputer do botnetu i pobierając z sieci dodatkowe składniki cyberataku, mogące rozszerzać infekcję na kolejne maszyny. Może się też pojawić komenda “/encrypt”, bo wciąż aktywni amatorzy ransomware z pewnością chętnie wypróbują taki kanał komunikacji.

Tezę o roboczej wersji wirusa zdaje się potwierdzać raczej tymczasowy adres URL jego serwera. Ukryty w linku do usługi Pastebin (sieciowego magazynu udostępniania krótkich tekstów) kieruje ruch na prywatny adres IP, używany najprawdopodobniej tylko do testów nowego zagrożenia.

Xopero przypomina, że stosowanie steganografii w cyfrowym wyścigu zbrojeń nie jest zjawiskiem nowym, a cyberprzestępcy sięgali już po nią wielokrotnie, z różnymi sukcesami. Z drugiej strony być może właśnie nadchodzi jej czas. W świecie social mediów, w których - wg badań Ditto Labs - codziennie udostępnianych jest już 3,2 miliarda grafik, a użytkownicy wyrażają emocje gif-ami to właśnie obrazek ściąga uwagę najsilniej, od dawna będąc głównym budulcem komunikacji.

Równocześnie nie warto popadać w paranoję, chociaż potencjalnie niebezpieczna grafika może przyciągnąć odbiorców także w miejscu ich pracy, ryzykując utratę lub zniszczenie firmowych danych. Zdaniem ekspertów samo zagrożenie nie rozprzestrzenia się (jeszcze) ani za pomocą obrazków, ani social mediów, a 13 grudnia Twitter deaktywował podejrzane konto. Nie oznacza to oczywiście, że twórcy wirusa wycofali się z biznesu, ale dbając o aktualizacje systemu i antywirusa oraz sprawdzony backup danych możemy bez większego zagrożenia przeglądać w sieci kolejne obrazki.