La empresa Trend Micro ha sido la descubridora de este novedoso tipo de ataque que recoge los comandos de una cuenta de Twitter controlada por los atacantes.
¿Cuál es el malware en cuestión?
El malware utilizado es denominado “TROJAN.MSIL.BERBOMHTHUM.AA“. Su forma de trabajo es infectar un equipo, y tras ello descargar las imágenes que contienen las instrucciones a seguir.
¿Que información sacan de las imágenes?
Los memes publicados en la cuenta hacían uso de técnicas de Esteganografía para ocultar los comandos que ejecutaba el malware. Estos, tras ejecutar las instrucciones, accedían a una publicación de Pastebin para conseguir la dirección del servidor al que enviaban la información robada.
Según los investigadores, la cuenta de Twitter analizada se creó en 2017 y contenía solo dos memes que entregaban comandos “/ print” al malware para indicarle que realizara capturas de pantalla.
Este malware mandaba las capturas al servidor C&C sacado de la URL de Pastebin facilitada en la imagen.
¿Desde cuando se realiza este tipo de ataque?
Según VirusTotal, el malware surgió a mediados de octubre, pues fue cuando se creó la publicación en Pastebin.
Sin embargo, en los memes analizados, la dirección del servidor es local, lo que hace pensar que los ciberdelincuentes aún se encontraban realizando pruebas con el mismo antes del ataque.
Tras el reporte realizado por TrendMicro, Twitter tomó cartas en el asunto y cerró la cuenta involucrada.
Más información:
Post de TrendMicro:
https://blog.trendmicro.com/trendlabs-security-intelligence/cybercriminals-use-malicious-memes-that-communicate-with-malware/
Por Daniel Púa
Dejar un comentario