Un grupo de investigadores de seguridad acaba de encontrar un nuevo tipo de malware que toma sus instrucciones de un código oculto en los memes publicados en Twitter.
El troyano es de tipo Remote access trojan (RAT), vale decir, controla un sistema a través de una conexión de red remota. Pero acá viene lo curioso: se complementa con fotos de Internet. Los comandos del malware se reciben a través de un servicio legítimo y emplea el uso de memes maliciosos de apariencia benigna. Así lo mencionó la firma de seguridad japonesa, Trend Micro:
«Los autores de malware han publicado dos tweets con memes maliciosos el 25 y 26 de octubre a través de una cuenta de Twitter creada en 2017. Los memes contienen un comando incrustado que el malware analiza después de que se descarga en la máquina de la víctima».
Los memes contienen un comando incrustado que el malware analiza después de que se descarga desde la cuenta de Twitter maliciosa en la máquina de la víctima, actuando como Un servicio de C&C para el malware ya colocado. Cabe señalar que el malware no se descargó de Twitter y que no observamos qué mecanismo específico se utilizó para entregar el malware a sus víctimas. El malware conectado a este meme malicioso ha sido bloqueado proactivamente por la tecnología de detección de comportamiento y aprendizaje automático de Trend Micro en el momento del descubrimiento.
Con esta curiosa metodología, infecta silenciosamente a una computadora, y puede tomar capturas de pantalla o extraer otros datos del sistema afectado, los que envía a una dirección. No está claro de dónde vino el malware, cómo infecta inicialmente a sus víctimas o quién está detrás de él, pero se complementa con algo que probablemente todos hemos descargado: memes.
Tampoco se sabe exactamente para qué sirve el malware, o su uso previsto en el futuro. Según rescató TechCrunch, los investigadores creen que podría ser una prueba de concepto para futuros ataques. Después de que Trend Micro informara la cuenta, afortunadamente Twitter la suspendió de forma permanente.
Descubrimos que una vez que el malware se haya ejecutado en una máquina infectada, podrá descargar los memes maliciosos de la cuenta de Twitter a la máquina de la víctima. Luego extraerá el comando dado. En el caso del comando «imprimir» oculto en los memes, el malware toma una captura de pantalla de la máquina infectada. A continuación, obtiene la información del servidor de control de Pastebin. Posteriormente, el malware envía la información recopilada o la salida del comando al atacante al subirla a una dirección URL específica.