Accueil > Nouvelles Cyber > Twittersploit Attack Leverages Dangerous Twitter Malware
CYBER NOUVELLES

Twittersploit Attaque Exploite Dangerous Twitter Malware

Les experts en sécurité alertés d'une nouvelle méthode d'infection dangereuse connue sous le nom d'attaque Twittersploit. Au centre de tout cela est l'utilisation de plusieurs instances de logiciels malveillants qui utilisent le service de réseau social Twitter en C&C (commandement et de contrôle) interface serveur. Les analystes notent qu'un modèle de comportement complexe est en cours d'exécution sur le moment de l'infection.

Le logiciel malveillant derrière l'attaque Twittersploit

L'un des premiers cas malveillants qui sont utilisés dans les attaques est appelé CozyCar (également connu sous le nom CozyDuke). Il a été utilisé principalement par le collectif de piratage informatique APT de 2015 à 2015 et représente un cadre modulaire qui peut être personnalisé en fonction des caractéristiques uniques des cibles en cours. L'un des points forts derrière elle est le fait que le compte-gouttes utilisé par ce logiciel malveillant effectue une protection furtive module qui va scanner l'ordinateur infecté pour tous les logiciels de sécurité et des services qui peuvent interférer avec l'exécution correcte. La menace de CozyCar recherche des programmes anti-virus ou de l'environnement de bac à sable et le cas échéant se trouvent l'attaque se cacher et arrêter de courir. Ceci est fait afin d'éviter les administrateurs système de trouver qu'il y a eu une faiblesse dans le système.




Le moteur principal est obscurcie avec un chiffre rotatif qui rend très difficile d'identifier les infections. Le compte-gouttes utilise également un malveillant du service du système rundll32.exe afin d'exécuter le composant principal. C'est aussi automatiquement commencé une fois l'ordinateur démarre, cela se fait via Registre de Windows changements. Il est défini comme un service régulier et une tâche planifiée. La principale méthode de communication avec le serveur contrôlé hacker se fait via une connexion normale ou une interface sécurisée. Le malware CozyCar permet pirates d'exécuter des commandes arbitraires. L'autre module dangereux associé à l'utilisation d'un le vol d'informations mécanisme. Il peut récolter les informations d'identification stockées dans le système d'exploitation et certaines applications et services installés par les utilisateurs.

Le prochain malware utilisé dans l'attaque est appelée HAMMERTOSS et est fait par le même collectif. L'une des caractéristiques uniques derrière elle est qu'il télécharge ses modules associés de diverses ressources web tels que Twitter et GitHub. Le binaire principal contient une fonction qui génère une autre poignée Twitter pour les contrôles effectués. Le compte-gouttes utilise une connexion sécurisée pour relier les services contrôlés Hacker-. Comme l'exemple précédent, il s'obscurcit dans des fichiers d'image. Au lieu de la course cmd.exe commune commandes HAMMERTOSS Utilise PowerShell, permettant aux pirates derrière les attaques d'exécuter des scripts complexes. L'analyse de sécurité a identifié que le moteur utilise un coutume protocole de chiffrement. Tous les fichiers capturés sont d'abord téléchargés Controlled hacker (ou pris en otage) plates-formes de stockage en nuage web. A partir de là, ils peuvent le récupérer plus tard.

La MiniDuke logiciels malveillants utilisée par APT dans la période 2010-2015 se compose principalement des téléchargeurs et des composants de porte dérobée. Il est un outil efficace pour le déploiement d'une variété de menaces - de ransomware aux chevaux de Troie et rootkits. Son intéressant de noter qu'il met en œuvre une canal de repli servant à identifier le C&serveurs de C. Si ceux hébergés sur Twitter ne répondent pas alors le malware MiniDuke déclenche automatiquement une requête de recherche Google en utilisant un contenu spécifique qui peut les identifier. Cela rend l'attaque Twittersploit particulièrement efficace. Lors du téléchargement backdoors aux systèmes infectés, ils sont cryptés dans les fichiers GIF.

Le dernier module utilisé dans les attaques est appelé OnionDuke, il a été utilisé comme une charge utile primaire au cours de plusieurs campagnes se produisant dans 2013-2015. Les connexions cryptées ainsi que le téléchargement de diverses charges utiles aux machines. Le logiciel malveillant est capable d'afficher des messages de manière automatisée sur le site des médias sociaux VKontakte. Sa fonction principale est de extraire les informations d'identification et des informations privées.

histoire connexes: CoinHive Miner Virus Outbreak a infecté 170,000 Les routeurs

Les conséquences de l'attaque Twittersploit

L'une des principales raisons pour lesquelles l'attaque Twittersploit est particulièrement efficace pour provoquer de nombreuses infections. La méthode permet de surmonter les listes noires traditionnelles d'URL contrôlée hacker. Pour bloquer efficacement les attaques de se produire les administrateurs réseau devra bloquer l'accès au réseau social Twitter.

les communications encryptées sont difficiles à tracer et analyser. Le fait que les communications Twitter peuvent utiliser plusieurs poignées montre qu'un moteur complexe a été programmé. Communications suit généralement un modèle établi de commandes bidirectionnelles. Une tactique commune est d'abord signaler l'infection, puis écouter pour toutes les commandes. Un code preuve de concept montre qu'une mise en œuvre à l'aide de ces outils est simple et possible par des acteurs malveillants à tout niveau de compétence, tant qu'ils ont accès aux outils APT.

L'attaque Twittersploit est une solution efficace pour réaliser des infections complexes. Le fait que tous les outils principaux sont utilisés par le groupe APT montre qu'il existe clairement une intention criminelle dans leur utilisation. Sans ce qui concerne le réseau de distribution initial peut être utilisé une intrusion réussie à s'immiscer dans les réseaux entiers à la fois. Étant donné l'utilisation des ressources disponibles et les fonctions des différents logiciels malveillants peuvent être utilisés pour extraire des informations sensibles et le déploiement d'autres virus.

avatar

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...