요약
- 트랜드 마이크로, 트위터를 이용한 스테가노그래피(Steganography) 공격 발견.
- 2017년에 생성된 트위터 계정으로 10/25, 26일 악성 밈(meme)을 트위트 함
- 공격방법 :
트위터에 포스팅한 이미지 파일에 ‘/print’ 명령어 은닉
감염된 컴퓨터를 스크린샷 해 전송하도록 함
악성코드는 Pastebin 포스팅으로부터 전송할 C&C주소 획득
획득한 정보를 공격자가 지정한 특정 URL 주소로 전송
- 악성코드 탑재 명령어
/print : 이미지 캡처
/processos :구동중인 어플린케이션이나 프로세서 정보 얻기
/clip : 사용자 클리보드의 정보 탈취
/docs : desktop, %AppData%, etc. 등의 사전에 전의된 폴더의 파일이름을 탈취
/username : 감염된 장비의 사용자이름 탈취
- 영향성 : 악성코드를 어떻게 감염시키는지, 공격자의 정보 등은 알지 못함. 악성코드의 목적 또한 모호한 상태.
- 트랜드마이크로 보고서 발표 후, 12월 13일자로 트위터는 해당 계정 영구 삭제함
*지난해 러시아 해커가 브리트니 스피어스의 인스타그램 포스트를 이용해 악성 코드를 유포한 사례도 있음
▼ 악성 트위터 계정과 해당 악성 밈
탐지룰 존재유무
- 트랜드마이크로: TROJAN.MSIL.BERBOMTHUM.AA
참고자료
브리트니 스피어스 계정 이용 악성코드 유포: https://www.hackread.com/hacker-found-using-twitter-memes-to-spread-malware/
트랜드마이크로 보고서: https://blog.trendmicro.com/trendlabs-security-intelligence/cybercriminals-use-malicious-memes-that-communicate-with-malware/
출처: https://thehackernews.com/2018/12/malware-twitter-meme.html
https://www.hackread.com/hacker-found-using-twitter-memes-to-spread-malware/
'Incident Report' 카테고리의 다른 글
| [2019.01.24] PHP PEAR 패키지 메니저 해킹 (0) | 2019.03.19 |
|---|---|
| [2019.01.09] 호주 재난 예보 시스템 해킹당해 (0) | 2019.03.19 |
| [2018.12.17] 폭파 협박에 이은 세번째 스팸 공격 (0) | 2019.03.14 |
| [2018.12.14] 지난 혹스 메일에 이은 새로운 혹스 메일 등장 (0) | 2019.03.14 |
| [2018.12.10] 영국 보건서비스분야, 다음달부터 병원에서 FAX 구매 전면 금지와 단계적 사용 제한 (0) | 2019.03.14 |