Логин
Пароль
Неверный логин/пароль
Введите логин, указанный вами при регистрации. Мы вышлем новый пароль.
Ваша учетная запись не найдена
Пароль выслан.

Вирус-шпион Hammertoss управляется с помощью сообщений Twitter

31 июля 2015, 15:50

Эксперты FireEye предполагают, что вредонос создан хакерами из России, так как работает по московскому времени и «отдыхает» в российские выходные.

Специалисты компании FireEye, занимающейся защитой сетей, сообщили об обнаружении у одного из клиентов вредоноса Hammertoss, деятельность которого маскируется необычными способами.

Hammertoss ежедневно генерирует пользовательские имена, подходящие для регистрации аккаунтов Twitter. Для связи с вредоносом хозяева регистрируют соответствующий аккаунт и публикуют сообщение c хэштегом и ссылкой на изображение на другом сервере. В картинке методами стеганографии закодировны инструкции для Hammertoss, которые тот расшифровывает, формируя ключ с использованием хэштега. В составе посланий для вредоноса исследователи нашли закодированные команды Powershell, указания по сохранению краденого контента на облачных серверах и инструкции по запуску файлов.

Атакующие пользуются тем, что исходящий трафик к Twitter в организациях обычно не блокируют, а сами сообщения к Hammertoss могут мгновенно удаляться после считывания, что дополнительно усложняет расследование атаки. Чтобы не выделяться на фоне общего «шума», Hammertoss активен только в рабочее время дня.

Источники

osp.ru