Российские хакеры Turla используют комментарии в Instagram Бритни Спирс

Российские хакеры Turla используют комментарии в Instagram Бритни Спирс

Российские хакеры Turla используют комментарии в Instagram Бритни Спирс

Группа кибершпионов Turla, которую относят к российской разведки, запустила бэкдор, замаскированный под расширение Firefox. Особенность этого бэкдора заключается в том, что он использует комментарии к фотографиям Britney Spears в Instagram в качестве командного центра (C&C).

Обнаруженное в недавней вредоносной кампании исследователями ESET, это расширение Firefox является частью более крупного арсенала инструментов для взлома, используемых Turla. Для распространения своего бэкдора злоумышленники используют зараженные сайты, на которых размещен код, загружающий и запускающий вредоносные файлы на компьютере пользователя.

Эксперты ESET установили, что вредоносное расширение Firefox устанавливается скомпрометированным сайтом Swiss. Посетителям этого сайта было предложено установить расширение, якобы представляющее собой кодировку HTML5. ESET говорит, что это простой JavaScript-бэкдор, который докладывает об активности пользователя своим операторам.

Дальнейший анализ ESET показал, что расширение Firefox загружает версию бэкдора Skipper, известного семейства вредоносных программ, которым пользуется Turla.

Но самая странная находка ESET ждала впереди. Эксперты обнаружили, что вредоносная программа подключается к комментариям фотографий, загруженных в аккаунт Instagram Бритни Спирс, и ищет тот, значение хэша которого равно 183.

«Мы изучили комментарий с хэшем 183. Он был написан 6 февраля, а фотография была опубликована в начале января. Если пропустить его через регулярное выражение, мы получим следующий сокращенный URL-адрес: http:// bit. ly/2kdhuHX» - говорится в сообщении ESET.

Исследователи утверждают, что регулярное выражение ищет либо @|#, либо Unicode-символ \200d. Этот символ на самом деле является непечатаемым символом, называемым «Zero Width Joiner», обычно используемым для разделения эмоджи. Он предшествует каждому символу, который создает путь к URL-адресу:

smith2155< 200d >#2hot ma< 200d >ke lovei< 200d >d to < 200d >her, < 200d >uupss < 200d >#Hot < 200d >#X

Сокращенная ссылка, при ее «развертывании» представляет собой ссылку вида static.travelclothes. org/dolR_1ert.php

VK распродаёт активы и перестраивается под санкциями

VK резко перестраивает работу после новых ограничений Евросоюза. За несколько дней холдинг продал RuStore, объявил окончательный переезд с домена .com на .ru и лишился приложений сразу в двух крупнейших западных магазинах.

С 15 июля владельцем разработчика RuStore — компании «Много приложений» — стал её гендиректор Дмитрий Панкрушев.

Ранее бизнес целиком принадлежал VK. Сумма сделки не раскрывается, но эксперты оценивают актив примерно в 2 млрд рублей и связывают продажу с попыткой вывести магазин приложений из-под санкционного зонта холдинга.

Следом VK сообщил об исчезновении своих сервисов из Google Play. Вместе с VK и Max из каталога пропали «Одноклассники», Mail.ru, «Дзен» и «Юла». Ранее часть приложений холдинга уже удаляли из App Store.

Компания заверяет, что установленные версии продолжают работать, пуши и звонки не отключатся, а скачать приложения можно через RuStore и магазины производителей смартфонов.

Параллельно VK завершает переезд с vk.com на vk.ru. Для обычного пользователя это выглядит как смена нескольких букв, но внутри завязаны API, авторизация и партнёрские интеграции.

Эксперты, которых цитирует «КоммерсантЪ», считают, что переход в российскую доменную зону позволит снизить зависимость от зарубежной инфраструктуры. Некоторые участники рынка, впрочем, называют переезд срочным и вынужденным.

Инвесторы энтузиазма не проявили: 16 июля акции VK падали более чем на 7%.

Получается полноценная цифровая эвакуация: RuStore — за периметр холдинга, приложения — в альтернативные каталоги, домен .com — на выход. VK не просто меняет адрес, а срочно собирает инфраструктуру там, где до неё сложнее дотянуться санкциям.

RSS: Новости на портале Anti-Malware.ru