Das grösste Problem von Hackern ist neben „wie komme ich auf den Client“ auch, „wie kommuniziere ich mit meinen C&C Servern“
Sicherheitsforscher von Eset haben herausgefunden wie es die Hackergruppe Turla macht. Ihr Trojaner benutzt unter anderem den Instagram Account von Britney Spears.
Die Hacker von Turla infizieren den Browser Ihrer Opfer mit einer Firefox Extenstion. Mit dieser Erweiterung können Sie die Computer der betroffenen Personen komplett übernehmen. Die Erweiterung gibt sich als vermeintliche Sicherheitssoftware aus und wird so freiwillig von den Benutzern heruntergeladen somit ist die erste Frage „wie komme ich auf den Client“ erledigt. Bleibt noch die zweite Frage offen.
Durch einfache Kommentare auf Sozialen Netzwerken wie dem Instagram Account von Britney Spears. Mittels ein wenig Programmiermagie verbreiten die Hacker anschliessend die URL der C&C Server, als Kommentare getarnt.
Der Trojaner liest diese Kommentare aus und ermittelt daraus die URL der C&C Server.
So ist z.B. dieser Kommentar: #2hot make loved to her, uupss #Hot #X (inklusive der in Instagram unsichtbaren Unicode Zeichen) konvertiert, folgende URL http://bit.ly/2kdhuHX
Diese URL führt zu kompromittierten Servern von Botschaften oder Stadtverwaltungen.
Edit:
Dieser Link wurde von bit.ly bereits deaktiviert. Vermutlich werden jedoch schon neue Links im Umlauf sein.
Laut den Sicherheitsforscher ist eines der Add-Ins fr Firefox, welches diese Backdoor öffnet folgendes.
Bei diesem Update vom 13 April 2017 wird die Backdoor implementiert.
Juni 9, 2017 at 09:35
bit.ly hab uebringens reagiert. Wenn man den Link im Browser eingibt kommt: „STOP – there might be a problem with the requested link“
http://bit.ly/2kdhuHX