Si sa, i criminali informatici non smettono mai di inventare nuovi strumenti di attacco ed in questi giorni alcuni ricercatori di sicurezza di Trend Micro hanno scoperto un nuovo malware che si sta diffondendo tramite account di Twitter: viene identificato come TROJAN.MSIL.BERBOMTHUM.AA e riceve delle istruzioni da dei cosiddetti "meme" apparentemente comuni, ma che in realtà sfruttano la steganografia. Difatti queste immagini contengono del codice da eseguire in comandi come, ad esempio,"/print", (che cattura l'immagine dello schermo), oppure "/docs", (il quale accede ai documenti di una specifica cartella). Inoltre altri comandi riguardano gli appunti presenti nella clipboard del sistema, ("/clip"), il nome dell'utente, ("/username"), e l'elenco dei processi in esecuzione ("/processos"). In pratica Internet e soprattutto la cultura che si sviluppa sul web è piena di meme: immagini satiriche che spesso ritraggono soggetti ricorrenti, ma con frasi riferite a situazioni attuali. Tuttavia, come già anticipato, in questo caso si tratta di un'immagine divertente che contiene del codice malevolo nascosto, la quale ha l'obiettivo di sottrarre informazioni sensibili: in particolare ci sarebbero due file, (chiamati "DqVe1PxWoAIQ44B.jpg" e "DqfU9sZWoAAlnFh.jpg"), che inviano i dati sgraffignati agli utenti ad un server remoto, ad un indirizzo specificato in un testo nell'archivio Pastebin. Ad ogni modo ad aver condiviso per primi i "meme corrotti" sono stati due gli account nati nel 2017 e che Twitter ha già provveduto ad eliminarli. Successivamente però una delle immagini in grado di fare tutto ciò è stata ripubblicati tra il 25 ed il 26 Ottobre di quest'anno e ritraggono Morpheus del film Matrix con la frase "What if I told you... the resources are not real". In ogni caso, secondo gli esperti, il malware in questione entra in azione quando il meme viene scaricato nel sistema dell'utente; anche se per il momento non si parla di un download diretto e non è chiaro attraverso quale metodo. Tra l'altro non sarebbe da escludere l'ipotesi che vede queste immagini come un test magari per mettere alla prova i ricercatori e gli esperti di sicurezza, al fine di valutare la loro capacità di scovare la minaccia, e per pianificare un più grande attacco futuro, (i cui responsabili ancora non sono neppure stati identificati): non a caso il suddetto indirizzo IP indicato su Pastebrin era quello di una LAN. Comunque sia anche se sembra essere stato debellato, a questo punto bisogna fare molta attenzione anche ai meme che circolano su Twitter o sugli altri Social Network, che potrebbero contenere,infine, nuovi infidi malware.
Di seguito uno screenshot:
Commenti
Posta un commento