Virusi komunicirajo prek Instagrama Britney Spears
Matej Huš
8. jun 2017 ob 11:27:25
Ruska hekerska skupina Turla, ki jo poznamo po črvu Wipbot, s katerim so napadli sisteme Windows na številnih veleposlaništvih v Evropi, in podobnih virusih za Linux, uporablja zelo domiselno taktiko za komunikacijo z okuženimi sistemi. Ključni pri okužbi so namreč krmilno-nadzorni strežniki (C&C), s katerih virus prenaša zlonamerno kodo in kamor pošilja podatke. Podatke o naslovu teh strežnikov mora nekako dobiti in če jih uspemo onesposobiti, v veliki meri zatremo okužbo. Zato se je Turla domislila, da bi naslove teh strežnikov skrivali na Instagramov račun Britney Spears.
Prav ste prebrali. Raziskovalci so odkrili zlonamerno razširitev za Firefox, ki počne točno to. Koda gre pogledat omenjeni račun na Instagramu, in sicer komentarje za posamezne fotografije. Za vsakega izračuna posebno zgoščeno vrednost (hash) in če se ta ujema s 183, je v komentarju očitno skrito sporočilo. Potem nad komentarjem izvede transformacijo (največkrat nek ukaz iz regular expression), od koder pridobi naslov krmilno-nadzornega strežnika. Za delovanje je seveda treba nekako okužiti računalnik in žrtev pretentati v namestitev lažne razširitve za Firefox (z imenom HTML5 Encoding), kar pa običajno ni težko. Za zdaj so zabeležili malo povezav na tako odkrite strežnike, kar kaže da je virus bodisi zelo selektiven bodisi še v fazi testiranja.