8 mar. 2012

FlashBack Trojan utiliza Twitter como panel de control

Curiosa forma la que se utiliza para gestionar los bots infectados por FlashBack Trojan, que como han descubierto en Intego, están siendo manejados desde cuentas Twitter, utilizando hashtags para emitir los comandos a los equipos infectados. No es el primer malware que utiliza Twitter como C&C, pero normalmente están asociados a una cuenta, mientras que en este caso están conectados a un hashtag ofuscado. De esta forma no enlazan el control de los bots a una única cuenta de Twitter que pueda ser cerrada, sino que desde cualquier cuenta pueden enviar comandos a los equipos infectados si conocen el lenguaje de comunicación.

El código de comunicación, aunque un poco enrevesado, es bastante fácil de entender. El bot está buscando hashtags de 12 caracteres, de los cuales 4 son para el día, 4 para el mes y 4 para el año, y utilizan una tabla de correlación de valores para identificar cada día. Así, el hashtag del 6 de Marzo de 2012 sería #ezcnkpshxeoa tal y como puede verse siguiendo la tabla a continuación.
Para evitar ser descubiertos los twits antiguos son borrados. Además, para evitar que sea fácil detectar al troyano por el USER-AGENT que utiliza, se ha comprobado que las conexiones a Twitter buscando los hashtags se hacen con diferentes valores, lo que complica un poco más la labor de encontrar equipos infectados mirando logs de conexiones y obliga a analizar las consultas.

Os recordamos que la última versión de FlashBack utiliza exploits de Java para bugs parcheados en la última versión para instalarse sin interacción con el usuario, que si hay un antimalware en el equipo el troyano evita instalarse para no ser detectado, y que por último utiliza técnicas de ingeniería social, por lo que os recomendamos: Actualizar todo el software del equipo, instalar una solución antimalware y tener especial cuidado con los programas descargados desde Internet.

Fuente: Seguridad Apple

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!