출처 : https://techcrunch.com/2018/12/17/malware-commands-code-twitter-hidden-memes/
보안 연구원들은 트위터에 게시 된 밈에 숨겨진 코드로부터 지침을 취하는 새로운 종류의 악성 코드를 발견했다고 전했다.
대부분의 원시 원격 액세스 트로이 목마 (RAT)와 마찬가지로 악성 코드 자체는 취약한 컴퓨터를 조용히 감염시키고, 영향을받는 시스템의 스크린 샷을 가져 와서 다른 데이터를 가져와 악성 코드의 명령 및 제어 서버로 다시 보냅니다.
흥미로운 점은 악성 코드가 트위터를 악의적 인 모선과 의사 소통을하기에 도리어 관건으로 사용하고 있다는 것입니다.
트렌드 마이크로는 블로그 포스트 에서 멀웨어가 악성 프로그램 운영자가 운영하는 트위터 계정의 명령을 듣고 있다고 전했다 . 연구진은 맬웨어 이미지에 감염된 컴퓨터의 스크린 샷을 찍으라고 명령 한 "/ print"명령을 숨기기 위해 스테 가노 그래피를 사용하는 두 개의 트윗을 발견했습니다. 그런 다음 멀웨어는 스크린 샷을 보낼 곳을 멀웨어에게 알려주는 Pastebin 게시물에서 명령 및 제어 서버가있는 주소를 개별적으로 얻습니다.
연구자들은 트위터 페이지에 업로드 된 meme에는 실행중인 앱 및 프로세스의 목록을 검색하는 "/ processos", 사용자 클립 보드의 내용을 훔치는 "/ clip"및 검색 할 "/ docs"와 같은 다른 명령을 포함 할 수 있다고합니다. 특정 폴더의 파일 이름.
이 악성 코드 는 Pastebin 게시물 이 처음 생성 된 시기에 VirusTotal 의 해시 분석 에 따르면 10 월 중순에 처음 나타난 것으로 보입니다 .
그러나 연구원들은 그들이 모든 해답을 가지고 있지 않다는 것을 인정하고 악성 코드를 완전히 이해하기 위해서는 더 많은 작업을 수행해야합니다. 멀웨어가 어디에서 유래했는지, 어떻게 희생자를 감염 시키거나 그 뒤에 있는지에 대해서는 분명하지 않습니다. 또한 악성 코드가 앞으로 어떤 목적으로 사용되는지, 의도 된 용도로 사용되는지에 대해서는 명확하지 않습니다. 연구자들은 또한 Pastebin 게시가 왜 인터넷 주소가 아닌 로컬 주소를 가리키는 지 알지 못하며 향후 공격에 대한 개념 증명 일 수 있음을 시사합니다.
트위터가 악성 콘텐츠를 호스팅하지 않았거나 짹짹이 맬웨어에 감염 될 수는 없지만 소셜 미디어 사이트를 맬웨어와 통신하는 영리한 방법으로 사용하는 것은 흥미롭지 만 (독특한 것은 아니지만) 흥미로운 방법입니다.
논점 은 트위터를 사용할 때 악성 코드가 " twitter.com "에 연결된다는 것인데, 이는 트위터 처럼 보이지 않는 서버보다 안티 멀웨어 소프트웨어에 의해 표시되거나 차단 될 가능성이 훨씬 적습니다.
트렌드 마이크로가 계정을보고 한 후 Twitter는 계정을 오프라인 상태로 만들어 영구적으로 일시 중지 했습니다 .
맬웨어 또는 봇넷 운영자가 Twitter를 네트워크와 통신하기위한 플랫폼으로 사용한 것은 이번이 처음은 아닙니다. 심지어 까지 다시 2009으로 , 트위터 봇넷에 명령을 전송하는 방법을 사용 하였다. 그리고 최근에 2016 년 에 Android 악성 코드가 미리 정의 된 Twitter 계정과 통신하여 명령을받습니다.