Российские хакеры Turla используют комментарии в Instagram Бритни Спирс

Российские хакеры Turla используют комментарии в Instagram Бритни Спирс

Российские хакеры Turla используют комментарии в Instagram Бритни Спирс

Группа кибершпионов Turla, которую относят к российской разведки, запустила бэкдор, замаскированный под расширение Firefox. Особенность этого бэкдора заключается в том, что он использует комментарии к фотографиям Britney Spears в Instagram в качестве командного центра (C&C).

Обнаруженное в недавней вредоносной кампании исследователями ESET, это расширение Firefox является частью более крупного арсенала инструментов для взлома, используемых Turla. Для распространения своего бэкдора злоумышленники используют зараженные сайты, на которых размещен код, загружающий и запускающий вредоносные файлы на компьютере пользователя.

Эксперты ESET установили, что вредоносное расширение Firefox устанавливается скомпрометированным сайтом Swiss. Посетителям этого сайта было предложено установить расширение, якобы представляющее собой кодировку HTML5. ESET говорит, что это простой JavaScript-бэкдор, который докладывает об активности пользователя своим операторам.

Дальнейший анализ ESET показал, что расширение Firefox загружает версию бэкдора Skipper, известного семейства вредоносных программ, которым пользуется Turla.

Но самая странная находка ESET ждала впереди. Эксперты обнаружили, что вредоносная программа подключается к комментариям фотографий, загруженных в аккаунт Instagram Бритни Спирс, и ищет тот, значение хэша которого равно 183.

«Мы изучили комментарий с хэшем 183. Он был написан 6 февраля, а фотография была опубликована в начале января. Если пропустить его через регулярное выражение, мы получим следующий сокращенный URL-адрес: http:// bit. ly/2kdhuHX» - говорится в сообщении ESET.

Исследователи утверждают, что регулярное выражение ищет либо @|#, либо Unicode-символ \200d. Этот символ на самом деле является непечатаемым символом, называемым «Zero Width Joiner», обычно используемым для разделения эмоджи. Он предшествует каждому символу, который создает путь к URL-адресу:

smith2155< 200d >#2hot ma< 200d >ke lovei< 200d >d to < 200d >her, < 200d >uupss < 200d >#Hot < 200d >#X

Сокращенная ссылка, при ее «развертывании» представляет собой ссылку вида static.travelclothes. org/dolR_1ert.php

Мосбиржа подключает ИИ к охоте за рыночными манипуляциями

Московская биржа внедряет инструменты на базе искусственного интеллекта, чтобы быстрее выявлять манипулирование рынком и инсайдерскую торговлю. Об этом сообщили в пресс-службе площадки. ИИ планируют глубоко встроить в комплаенс-процессы, во внутренний контроль за соблюдением правил и норм.

Система будет автоматически анализировать сотни тысяч сделок, связанные метрики взаимной торговли и признаки возможной координации между участниками рынка.

Проще говоря, если кто-то решил поиграть в случайные совпадения на бирже, алгоритмы должны заметить это быстрее человека.

Технология также будет формировать базу поведенческих метрик. Затем результаты анализа передадут специалистам, которые уже будут разбирать конкретные случаи и принимать решения по итогам расследований.

В Мосбирже отмечают, что это часть более широкой работы по применению технологий для развития рыночной инфраструктуры и усиления внутреннего контроля.

Старший управляющий директор по комплаенсу и этике бизнеса Московской биржи Ирина Грекова пояснила, что ИИ помогает быстрее обрабатывать большие массивы данных.

По её словам, в перспективе одного-двух лет ИИ-ассистенты и автоматизация процессов позволят освободить экспертов от части рутины, направить их ресурсы на сложные случаи, увеличить число расследований и сократить сроки принятия мер.

Так что биржевым хитрецам, похоже, станет сложнее прятаться в потоке сделок. Там, где раньше человеку приходилось долго копаться в массивах данных, теперь будет работать ИИ — холодный, быстрый и не устающий от подозрительных паттернов.

RSS: Новости на портале Anti-Malware.ru