Os Seguidores de Britney Spears no Instagram Ajudam o Turla Malware a Encontrar o Servidor que o Controla
Britney Spears tem cerca de 17 milhões de seguidores do Instagram que visualizam, compartilham e comentam suas fotos todos os dias. Alguns deles são grandes fãs. Um usuário que seguiu o exemplo 'asmith2155', por exemplo, ficou tão empolgado quando comentou uma das fotos da estrela pop que perdeu a capacidade de formar frases coerentes. Pelo menos é o que você acha que aconteceu. Como descobriram os pesquisadores da ESET, no entanto, o comentário do asmith2155 foi na verdade uma string especialmente criada que ajudou um backdoor criado pelo grupo Turla APT a encontrar seu servidor de Comando e Controle (C&C).
APT significa "Ameaça persistente avançada" e o termo é usado para descrever equipes de hackers (que, na maioria dos casos, são patrocinadas pelo estado) que atacam alvos de alto perfil com malware sofisticado. Deve-se dizer que, quando se trata de certos aspectos de seu modus operandi, a turma de Turla é especialmente persistente.
Há algum tempo, o ponto inicial de seus ataques tem sido os chamados poços de água. Basicamente, a Turla escolhe sites que provavelmente serão visitados por seus alvos e injeta algum código neles. Os especialistas da ESET viram o referido código nos sites de várias embaixadas, ministérios das relações exteriores e organizações políticas e observaram que os atores da ameaça projetaram as seqüências para parecer que pertencem à plataforma Clicky Web Analytics. Na realidade, o código leva os visitantes a um arquivo JS de impressão digital hospedado em outro site violado, que determina o endereço IP da vítima em potencial. Se o script decidir que o visitante é "interessante", ele envia outro arquivo JS que instala um super cookie que rastreia os hábitos de navegação da vítima e baixa uma biblioteca que detecta os plugins do navegador instalados.
Mas como o perfil de Britney Spears no Instagram entra nisso?
Enquanto monitoravam as lacunas, os especialistas da ESET notaram uma extensão interessante do Firefox. As extensões do Firefox, observaram os pesquisadores, foram usadas por outros grupos do APT no passado, então eles não puderam deixar de dar uma olhada. Com certeza, acabou sendo um backdoor JavaScript que pode ler, baixar, fazer upload e executar arquivos. Há um pequeno detalhe, no entanto. O backdoor não pode funcionar sem um C&C.
Investigações posteriores revelaram o mecanismo inteligente de localização do servidor dos atores de ameaças. O malware vai para uma foto específica do Instagram (neste caso, foi carregada por Britney Spears), examina os comentários e procura aquela com o valor de hash 183. O comentário que correspondeu aos critérios foi escrito pelo mencionado asmith2155.
Figura 1. Link para malware de Britla Spears no Instagram Turla - Fonte: WeLiveSecurity
O que você vê acima não é o que o malware vê, no entanto. No comentário, há um caractere não imprimível, "<200d>", que é colocado em vários lugares e normalmente é usado para separar emojis. Para Turla Backdoor, o comentário é esse:
smith2155<200d>#2hot ma<200d>ke lovei<200d>d to <200d>her, <200d>uupss <200d>#Hot <200d>#X
O malware usa regex para verificar o primeiro caractere alfanumérico após cada <200d> e agrupa os resultados em um URL encurtado.
Uma representação gráfica do mecanismo
O mecanismo de localização da C&C é bastante engenhoso, principalmente porque o URL está basicamente oculto à vista de todos. Parece, no entanto, que os hackers da Turla ainda estão testando.
O link bit.ly resolve para "http://static.travelclothes[dot]org/dolR_1ert.php", e uma verificação rápida mostra que ele foi clicado apenas dezessete vezes em fevereiro. Além disso, devido a algumas alterações que estão prestes a serem feitas no Firefox, o backdoor não funcionará corretamente nas versões futuras do navegador.
É improvável que as mudanças dissuadam os atores de usarem o Turla.