Compartir
Foto de britney Spears en Vanityfair

Investigadores en ciberseguridad han descubierto un malware que ha estado siendo probado por un grupo de hackers de habla rusa y que para ello se han servido de la sección de comentarios del Instagram de Britney Spears. El grupo se hace llamar Turla y se especializa en usar malware para espiar. Los investigadores de ESET han descubierto recientemente un troyano que crea una puerta trasera y que había sido creado por este mismo grupo pero aún no se había desarrollado a gran escala.

El malware no es en sí impresionante, usa una extensión de Firefox para crear la puerta trasera que le da acceso completo al atacante. Los investigadores creen que es una adaptación al Pacifier APT que se difundió por documentos de Microsoft Word en 2016.

Extensión HTML5 Encoding con troyano

Turla usa “watering holes” o sitios comprometidos que sus objetivos suelen visitar para distribuir su malware. Este troyano fue descubierto en una web de una compañía de seguridad suiza, donde a todo aquel que la visitaba se le pedía instalar una extensión con el nombre “HTML5 Encoder”.

¿Qué tiene de diferente este malware?

La verdadera innovación en este caso es el uso de una red social para contactar con los servidores comando y control -C&C- de su malware. Estos servidores mandan instrucciones y actúan como repositorio de la información robada. Para ello han usado un comentario codificado en una publicación del Instagram de Britney Spears, el malware podía averiguar qué URL usar para encontrarse con el servidor sin incluir en su propio código esta información.

Malware en el instagram de Britney spears

El malware se desplazaba a través de los comentarios de las fotos de la famosa y buscaba uno que contenía unos números con un valor concreto. El comentario podía parecer spam y nadie le daría importancia, pero si lo examinas más a fondo en realidad está usando caracteres Unicode \200d y tendría este aspecto en realidad: smith2155< 200d >#2hot ma< 200d >ke lovei< 200d >d to < 200d >her,< 200d >uupss< 200d >#Hot< 200d >#X. Cuando el malware lo localizaba lo convertía a este link de Bitly: http://bit.ly/2kdhuHX. Este link corto resolvía a un sitio conocido por ser un watering hole de Turla. De esta forma podían cambiar el C&C sin modificar el malware.

ESET ya se ha puesto en contacto con los desarrolladores de Firefox y están trabajando en una solución para hacer que esta extensión deje de funcionar.

  • CapitanBallmer

    Joser, que super subrealista no?

    • Andrés

      Subrealista para nada, similares a estas pasan constantemente.

  • Andrés

    La de pasta que tiene que mover las cuentas de estas divas. Ha una de las Kardashian le llegaron a pagar $250.000 por subir una foto promocionando un concierto. Y ahora las están denunciando por publicidad engañosa.