現在進行中の Turla キャンペーンの背後にいるマルウェアの悪党たちが、C&C チャネルとして Instagram アカウントを試しているのが確認されています。
ロシアが提供した(そして国家が支援していると言われている)スパイツール「Turla」は、2014年に発見されて以来、繰り返し再浮上している。
ESET は、Windows をターゲットとして単純なバックドアを実装する Firefox 拡張機能を発見しました。
同社の Jean-Ian Boutin 氏は、現段階ではこれは、マルウェア開発者らが将来展開することを望んでいるもののテスト実行のようだと書いている。マルウェアはターゲットに関する情報を収集し、それを AES で暗号化して、C&C サーバーに送信している。
このクリックベイトの興味深いところは、拡張機能が C&C のアドレスを取得する方法です。テスト実行では、ブリトニー・スピアーズの Instagram アカウントへのコメントに投稿されました。
ESETは「この拡張機能は各写真のコメントを確認し、カスタムハッシュ値を計算します」と説明している。
攻撃者にC&Cアドレスを提供するための適切なコメントハッシュ
マジックナンバーは 183 です。ハッシュが一致すると、コメントは正規表現で解析され、C&C の Bitly 短縮 URL が取得されます。
どうやら、そのアイデアは、感染した Firefox 拡張機能の 2 月のテスト実行 (ESET によると、このマルウェアは、匿名の侵入されたスイスのセキュリティ企業で最初に確認された) を利用して、将来に向けてより効果的なものを準備することだ。®
