恶意程式和防毒软件玩躲猫猫不稀奇,但跑到艺人社交账号去就稀奇了。根据防毒公司 Eset 研究员的报告,骇客运用在小甜甜布兰妮 IG 留下特定内容的留言,指挥旗下恶意程式下一步指令。
Eset 的报告指出俄国 APT 骇客集团 Turla,运用伪装为防护电脑的 Firefox 套件,实际上是恶意程式,侵入安装套件的电脑,进而控制感染的电脑。该套件不直接在执行的程式码写出要联系的中央指挥所位置,而是读取特定的小甜甜布兰妮官方 Istatgram 留言。由于 Turla 未指名他们指挥中心的位置,变得非常难以追查 Turla 集团来源。
一般恶意程式常透过 bit.ly 缩网址在恶意程式中隐藏真正的指挥中心,但 Turla 放在小甜甜 IG 的字串,还得经过 regular expression 搜寻“(?:\u200d(?:#|@)(\w)”,再经过加密 hash 运算,如果算出来是 183,得到的 bit.ly 缩网址才会指向指挥中心,依据指挥中心的指示进行下一步行动。
▲ Turla 透过在小甜甜布兰妮特定的 Instagram 贴文(https://www.instagram.com/p/BO8gU41A45g/)下面的留言,指出实际的恶意程式指挥中心。
▲ 由于 bit.ly 缩网址的数据是公开看得到,因此我们看到 http://bit.ly/2kdhuHX 指向的真正网址有 17 次转向次数。
如今 Firefox 浏览器已经修改架构,因此 Turla 的套件已无法运作。但可以预期当 Turla 新版本恶意程式出来,将跟以往的版本相差很大。
- You’ll never guess where Russian spies are hiding their control servers
- Turla’s watering hole campaign: An updated Firefox extension abusing Instagram
- Russian malware communicates by leaving comments in Britney Spears’s Instagram account
(首图来源:Pixabay)
