Menú principal

martes, 6 de marzo de 2012

FlashBack Trojan utiliza Twitter como panel de control

Curiosa forma la que se utiliza para gestionar los bots infectados por FlashBack Trojan, que como han descubierto en Intego, están siendo manejados desde cuentas Twitter, utilizando hashtags para emitir los comandos a los equipos infectados. No es el primer malware que utiliza Twitter como C&C, pero normalmente están asociados a una cuenta, mientras que en este caso están conectados a un hashtag ofuscado. De esta forma no enlazan el control de los bots a una única cuenta de Twitter que pueda ser cerrada, sino que desde cualquier cuenta pueden enviar comandos a los equipos infectados si conocen el lenguaje de comunicación.

El código de comunicación, aunque un poco enrevesado, es bastante fácil de entender. El bot está buscando hashtags de 12 caracteres, de los cuales 4 son para el día, 4 para el mes y 4 para el año, y utilizan una tabla de correlación de valores para identificar cada día. Así, el hashtag del 6 de Marzo de 2012 sería #ezcnkpshxeoa tal y como puede verse siguiendo la tabla a continuación.

Figura 1: Tabla de códigos ofuscados

Para evitar ser descubiertos los twits antiguos son borrados, pero analizando el código es posible ver cómo están realizándose ese tipo de búsquedas en Twitter para ejecutar comandos.

Figura 2: Búsqueda del hashtag #pepbyfadxeoa, es decir, comandos del 5 de Febrero de 2012

Además, para evitar que sea fácil detectar al troyano por el USER-AGENT que utiliza, se ha comprobado que las conexiones a Twitter buscando los hashtags se hacen con diferentes valores, lo que complica un poco más la labor de encontrar equipos infectados mirando logs de conexiones y obliga a analizar las consultas.

Figura 3: Distintos valores de USER-AGENT utilizados por FlashBack Trojan

Os recordamos que la última versión de FlashBack utiliza exploits de Java para bugs parcheados en la última versión para instalarse sin interacción con el usuario, que si hay un antimalware en el equipo el troyano evita instalarse para no ser detectado, y que por último utiliza técnicas de ingeniería social, por lo que os recomendamos: Actualizar todo el software del equipo, instalar una solución antimalware y tener especial cuidado con los programas descargados desde Internet.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares