ESET entdeckte neue Turla-Masche
Das Sicherheitsunternehmen ESET soll die neue Masche entdeckt haben, wie winfuture.de dazu ausführte. Die Hackergruppe Turla geht dabei so vor, dass über eine manipulierte Datei die Malware auf ein Zielsystem geschleust wird. Danach wird über einen Link die Datenübertragung zum Server der Angreifer initiiert.
Man vermutet im aktuellen Fall allerdings einen Versuch der Turla-Hacker. Dabei, so heißt es, wurde zunächst eine Schwachstelle in JavaScript genutzt. Versuchsfeld war offensichtlich eine Schweizer Firma. Turla verteilte dafür eine angebliche Firefox-Erweiterung mit dem Namen HTML5 Encoding über eine kompromittierte Seite dieses Unternehmens. Damit war man in die Lage versetzt, Aktivitäten auf dem Zielsystem zu erfassen.
Das Versteck im sozialen Netzwerk
Zur Datenübertragung wird eine bit.ly URL, also eine verkürzte URL verwendet, um den C&C-Server der Hackergruppe zu kontaktieren. Wie verlautet besteht der Trick der Hacker darin, dass die URL nicht im Code der Malware, sondern öffentlich, in sozialen Netzwerken versteckt ist.
Wie es weiter dazu heißt hat ESET in diesem Fall den nötigen Pfad in einem Kommentar unter einem Foto von US-Sängerin Britney Spears in ihrem Instagram-Account gefunden. Der Kommentar wirkt dabei ganz harmlos und zeigt auch keine einfache URL an. Die bekommt man erst, wenn die angegebenen Zeichen im RegEx ausgeführt werden - somit ist die Verbindung zum C&C-Server gut versteckt.
ESET kommentiert
"Es ist sehr interessant, dass die Turla-Gang Social Media für sich entdeckt hat, um den Pfad zu einem ihrer C&C-Server zu generieren",
"Dieses Verhalten wurde in der Vergangenheit aber auch schon bei anderen cyberkriminellen Banden, wie bei den ‚Dukes', beobachtet. Angreifer, die Social Media verwenden, um eine C&C-Pfad zu erstellen, erschweren das Leben für Verteidigende."
