Durante muito tempo, não houve artigos sobre esteganografia. Aqui está um exemplo de como os hackers disfarçam seus ataques como tráfego inofensivo usando redes sociais.
Cada botnet precisa manter contato com seu centro de controle para receber comandos, instruções, atualizar e executar várias tarefas nos dispositivos infectados. À medida que as ferramentas de segurança varrem o tráfego da rede para impedir a comunicação com endereços IP maliciosos, os atacantes estão cada vez mais usando serviços "legais" em suas infra-estruturas de ataque para dificultar a detecção.
Pesquisadores da Trend Micro encontraram um exemplo desse esquema: um novo malware extrai comandos de memes hospedados em uma conta do Twitter controlada por invasores. Para nós, espectadores, esse meme parece uma imagem comum, mas os comandos estão disponíveis nos metadados do arquivo, acessíveis apenas ao malware.
Aqui está um fragmento de um programa malicioso que implementa o download de imagens de um invasor no Twitter e a procura de comandos secretos.
Segundo os pesquisadores, a conta do Twitter em questão foi criada em 2017 e continha apenas dois memes contendo comandos para criar capturas de tela e enviá-las ao servidor do invasor, cujo endereço o programa recebe através do serviço pastebin.
Nota do tradutor:
O serviço pastebin permite que os usuários troquem grandes quantidades de informações em texto. Digamos que você escreveu um código, o enviou para pastebin, obteve um URL onde outros usuários podem obter seu código. Se você corrigiu o código, os usuários no URL antigo verão o código já corrigido. Uma espécie de github, mas apenas sem github.
Além de enviar capturas de tela, o malware pode enviar listas de processos em execução, nomes de contas, receber listas de arquivos de diretórios específicos em uma máquina infectada e receber despejos da área de transferência do usuário.
Os pesquisadores acreditam que o malware está nos estágios iniciais de desenvolvimento, pois o endereço IP local é indicado no site da Pastebin no norte, o que pode ser um esboço temporário.
Vale ressaltar que o malware não foi baixado do próprio Twitter, e os pesquisadores atualmente não descobriram qual mecanismo foi usado ou poderia ser usado pelos criminosos cibernéticos para entregar malware aos computadores das vítimas.
A conta do Twitter usada para entregar os memes maliciosos está atualmente desativada, mas ainda não está claro quem está por trás desse malware e como o misterioso hacker espalhou o malware.