Jeśli czytać i reagować na tweety może blisko 330 mln osób, mogą i zagrożenia. Na wyśledzonym przez ekspertów bezpieczeństwa koncie Twittera pod koniec listopada opublikowano dwa obrazki, w których ukryto czytelne tylko dla wirusa instrukcje działania na komputerze ofiary. Jednak przy zachowaniu odpowiednich środków ostrożności codzienne przeglądanie setek zdjęć nie zagrozi naszemu bezpieczeństwu.
Twitter, 25 i 26 listopada 2018 r. Na pustym dotychczas koncie “b0mb3rmc” pojawiają się dwa memy. Jeden z nich przedstawia Morfeusza, mentora z filmowej serii Matrix. Tradycyjnie dla tej postaci podaje on wiedzę odbiorcy w wątpliwość, podpisując obrazek cytatem: A co, gdybym ci powiedział, że źródła nie są prawdziwe? Tym razem kontekst jest szczególny – Morfeusz ma rację. Tam, gdzie ofiara jako źródło widzi zwykłą grafikę, ukryty na jej komputerze TROJAN.MSIL.BERBOMTHUM.AA dostrzega i wykonuje złośliwy kod zaszyty w metadanych oglądanego pliku.
Nowy atak wykorzystuje tzw. steganografię – technikę ukrywania nie treści komunikatu (tym zajmuje się kryptografia), ale samej jego obecności. Maskuje ona komunikację równie skutecznie, jak tatuaże bohatera serialu “Skazany na śmierć” kryły mapę więzienia, do którego trafił. A cyberprzestępców przyciąga do niej potrzeba kamuflażu ich własnej łączności. Wiele zagrożeń odbiera instrukcje łącząc się z serwerami command-and-control (C&C). Pozwala to indywidualnie dyktować wirusowi działania w komputerze ofiary lub zautomatyzować cały proces obsługując równolegle tysiące cyberataków.
Łączność na linii wirus-serwer jest przy tym ciągle utrudniana, głównie przez antywirusy. Dzisiejsze rozwiązania bezpieczeństwa wielostronnie prześwietlają ruch sieciowy, wycinając podejrzane transmisje i blokując adresy IP znane z promowania szkodliwych treści. Sięgając po steganografię cyberprzestępcy testują komunikację kanałami, których widoczność w sieci nie wywoła alarmu, a już na pewno nie wzbudzi podejrzeń w social mediach czy streamie aktualności przeciętnego internauty.
Tak właśnie działa wspomniane zagrożenie wykryte przez firmę Trend Micro. Regularnie sprawdzało ono profil Twittera utworzony jeszcze w 2017 roku. Rozpoznając w tweecie grafikę, wirus pobierał ją na dysk komputera, by po przeskanowaniu metadanych wykonać ukryte w nich komendy. Jakie? Przykładowo instrukcja “/print” wykonuje i przesyła do serwera zagrożenia zrzut ekranu zarażonej maszyny. Wirus może też udostępnić listę aktywnych procesów systemu użytkownika (ujawniając np. działanie konkretnego antywirusa), jego login Twittera, nazwy plików z określonych folderów na dysku i zawartość skopiowaną przez użytkownika do schowka. Czy na infiltracji się skończy?
– Prawdopodobnie obserwujemy wczesną wersję zagrożenia, ograniczoną do rekonesansu w systemie ofiary – mówi Bartosz Jurga, dyrektor sprzedaży firmy Xopero – Dla bezpieczeństwa trzeba jednak założyć, że kompletny wirus może wyrządzać realne szkody np. masowo kradnąc dane, włączając komputer do botnetu i pobierając z sieci dodatkowe składniki cyberataku, mogące rozszerzać infekcję na kolejne maszyny. Może się też pojawić komenda “/encrypt”, bo wciąż aktywni amatorzy ransomware z pewnością chętnie wypróbują taki kanał komunikacji.
Tezę o roboczej wersji wirusa zdaje się potwierdzać raczej tymczasowy adres URL jego serwera. Ukryty w linku do usługi Pastebin (sieciowego magazynu udostępniania krótkich tekstów) kieruje ruch na prywatny adres IP, używany najprawdopodobniej tylko do testów nowego zagrożenia.
Xopero przypomina, że stosowanie steganografii w cyfrowym wyścigu zbrojeń nie jest zjawiskiem nowym, a cyberprzestępcy sięgali już po nią wielokrotnie, z różnymi sukcesami. Z drugiej strony być może właśnie nadchodzi jej czas. W świecie social mediów, w których – wg badań Ditto Labs – codziennie udostępnianych jest już 3,2 miliarda grafik, a użytkownicy wyrażają emocje gif-ami to właśnie obrazek ściąga uwagę najsilniej, od dawna będąc głównym budulcem komunikacji.
Równocześnie nie warto popadać w paranoję, chociaż potencjalnie niebezpieczna grafika może przyciągnąć odbiorców także w miejscu ich pracy, ryzykując utratę lub zniszczenie firmowych danych. Zdaniem ekspertów samo zagrożenie nie rozprzestrzenia się (jeszcze) ani za pomocą obrazków, ani social mediów, a 13 grudnia Twitter deaktywował podejrzane konto. Nie oznacza to oczywiście, że twórcy wirusa wycofali się z biznesu, ale dbając o aktualizacje systemu i antywirusa oraz sprawdzony backup danych możemy bez większego zagrożenia przeglądać w sieci kolejne obrazki.
Nasz tekst cytowały serwisy:
Interaktywnie.com / Dziennik Internautów / eGospodarka / Telco / Co Nowego /