트위터에 게시된 Memes에서 명령 실행하는 악성코드 발견
Memes : 특정 메시지를 전하는 그림, 사진, 또는 짧은 영상
사이버 범죄자들이 합법적인 클라우드 서비스를 사용하여 악성 코드를 배포하는 또 다른 사례를 발견했습니다.
대부분의 맬웨어는 공격자로부터 명령을 받고 감염된 컴퓨터에서 다양한 작업을 수행하기 위해 제어 서버를 이용합니다.
보안 툴이 악성 IP 주소를 탐지하기 위해 네트워크 트래픽을 감시하기 때문에 공격 대상자들은 적법한 웹사이트와 서버를 사용하여 악성 소프트웨어를 탐지하기 어렵게 만들고 있습니다.
최근 발견된 악성 코드의 경우, 해커들은 관리자가 감시 할 수 없는 방식인 디지털 그래픽 이미지 내에 콘텐츠를 숨기는 기술인 스테가노그래피(Steganography)를 사용하여 트위터 Memes을 게시합니다.
Memes은 사람의 눈에 정상적인 이미지처럼 보이지만, 파일의 내부에 "/print"라는 명령이 숨겨져 있어서 악성코드가 감염된 컴퓨터의 스크린샷을 원격 명령 및 제어 서버로 보내도록 할 수 있습니다.
"TROJAN.MSIL.BERBOMTHUM.AA"라는 이름의 악성 코드는 공격자의 트위터 계정을 확인한 다음 Memes 파일에서 비밀 명령을 다운로드하고 검색하도록 설계되었습니다.
스크린샷을 찍는 것 외에도, 악성 코드는 실행 중인 프로세스 목록 검색, 로그인한 사용자의 계정 이름 가져오기, 감염된 컴퓨터의 특정 디렉토리에서 파일 이름 가져오기, 사용자 클립보드 덤프 등의 다양한
명령을 포함할 수 있습니다.
현재 공격자의 트위터 계정은 비활성화된 되었지만, 배후가 누구이고 어떻게 악성 코드를 유포했는지 아직 분명하지 않습니다.
