Britney Spears Instagramját használta egy orosz nyelvű hackercsoport, hogy tesztelje rosszindulatú kódját. A Turla kémkedésre fejlesztett trójai szoftverét az ESET kutatói vették észre, amiről a BleepingComputer írt a napokban.

A kártevő önmagában nem ismeretlen a biztonsági szakemberek előtt, egy Firefox kiegészítőt (HTML5 Encoder) használva szerez teljes kontrollt az áldozat gépe felett. Az ESET szerint a Pacifier APT egyik mutációjáról van szó, ami tavaly Word dokumentumokon keresztül fertőzött.

Ami miatt kiemelten foglalkoznak a szakértők a témával az, hogy a hackerek a közösségi médiát használják, hogy a program kapcsolatba lépjen a C&C (command and control) szerverekkel. Ezekről érkeznek az utasítások, és tárolódnak az ellopott információk is, miközben olyan kódolt hozzászólások jelentek meg Britney Spears posztjai alatt, amelyekből a kártevő anélkül tudta meg, hol keresse a vezérlőszervert, hogy a konkrét információt le kellett volna írni.

Ártatlannak néz ki (forrás: BleepingComputer) [+]

Egy külső szemlélő számára teljesen átlagos hozzászólások jelentek meg a képek alatt, viszont a trükk a karakterkódolásban és egy összerakó algoritmusban rejlik, amiből egy URL rövidítő linkjét rakja össze magának a trójai.

Ha a hackerek meg akarják változtatni a C&C szerver elérési útvonalát, csak annyi a dolguk, hogy letörlik a kommenteket, majd azonos hash érték mellett új információt tartalmazót publikálnak, miközben az Instagram felhasználóinak semmi nem tűnik fel abból, hogy a háttérben mi is történik.

Az ESET felvette a kapcsolatot a Firefox fejlesztőivel, dolgoznak a javításon, addig is a kiegészítőt eltávolították a hivatalos bővítmény-adatbázisból. A megoldás egyébként az lenne, ha végre sikerülne kivezetnie a böngészőgyártónak az NPAPI-ra épülő bővítményeket, és kizárólag az újabb, Web Extension alapú kiegészítőket lehetne használni, ezek ugyanis nem ágyazódnak olyan mélyre az operációs rendszerbe, mint az NPAPI.