Bezpečnost | Hacking

Hackeři našli netradiční způsob maskování. Adresu svého serveru ukryli na Instagram Britney Spears

  • Ruská hackerská skupina se zaměřuje na významné osobnosti
  • Backdoor byl instalován jako doplněk do prohlížeče Firefox
  • Adresa serveru byla uložena jako komentář na Instagramu

Bezpečnostní odborníci Esetu objevili trojského koně, jenž se maskuje za doplněk do prohlížeče Firefox a má a za úkol útočníkům odesílat informace o aktivitě oběti. Podle zprávy, kterou vydali a svém blogu, jde o dílo ruské hackerské skupiny Turla, která se často zaměřuje na státní představitele nebo celebrity. Nejzajímavějším na tomto případě je způsob, jakým hackeři maskují adresu řídícího serveru, s nímž malware komunikuje.

Backdoor v doplňku

Útočníci využili napadaný web jedné ze švýcarských bezpečnostních společností, takže pokud ji navštívil uživatel s prohlížečem Firefox, bylo mu nabídnuto stažení doplňku s názvem HTML5 Encoding. Pro méně znalého uživatele se může addon jevit jako součást, která pomůže ke korektnímu zobrazení stránky. Ve skutečnosti však začne po instalaci prohlížeč odesílat uživatelská data na server útočníků. Ostatně vše je postaveno na javascriptovém backdooru, který se objevil před necelým rokem v podobě infikovaného dokumentu pro Word a rovněž instaloval totožný doplněk do Firefoxu.

Zajímavostí je, že skupina Turla použila tento nástroj v roce 2016 pro napadení rumunských institucí.

V hlavní roli Britney Spears

Backdoor v doplňku pro webový prohlížeč by nebyl nijak zajímavý a takto distribuovaný malware je běžným postupem útočníků. V tomto případě si ale zaslouží pozornost díky způsobu, jakým je zajištěno zamaskování adresy řídícího serveru, z něhož putují pokyny pro instalované instance malwaru a zároveň jsou na něj odesílány získaná uživatelská data.

Útočníci adresu v prvním kroku ukryli pomocí nejrozšířenějšího zkracovače adres Bit.ly, který vždy vygeneruje adresu ve formátu bit.ly/xxxxxxx. A právě unikátních sedm znaků, které jsou součástí každé URL, ukryli útočníci do komentáře na sociální síti Instagram.

Konkrétně v tomto případě to byla fotka Britney Spears, kterou okomentoval uživatel s nickem asmith2155. Na první pohled není komentář ničím zajímavý a nikoho nemůže napadnout, že má nějaký další účel.

zahtyyg5hfzaky5mcla1.jpg
Komentář skrývá vše potřebné pro získání adresy serveru (zdroj: Eset)

Pokud byste ale text komentáře zkopírovali a vložili do textového editoru, zjistíte, že před některými písmeny a číslicemi se nachází Unicode znak \200d. Ten se používá primárně při práci v emoji a při standardním zobrazení není viditelný. V tomhle případě ale označuje právě znaky tvořící onu zkrácenou adresu na bit.ly:

smith2155< 200d >#2hot ma< 200d >ke lovei< 200d >d to < 200d >her, < 200d >uupss < 200d >#Hot < 200d >#X

Pokud tedy poskládáte vše, co je za zástupným \200d, dostanete adresu bit.ly/2kdhuHX. Pod tou se ukrývala standardní adresa serveru a skriptu, který se o komunikaci staral.

Pokud útočníci budou chtít změnit server, mohou komentář na sociální síti smazat a nahradit jej jiným, který povede na aktualizovaný zkrácený odkaz s adresou nového serveru.

Diskuze (13) Další článek: Je to oficiální. Apple chystá nový Mac Pro a k tomu i monitor pro nejnáročnější

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , ,