CNET también está disponible en español.

Ir a español

Don't show this again

'Malware' ruso, oculto a plena vista — hasta en la página de Instagram de Britney Spears

Un grupo de 'hackers' pudo implantar 'malware' dejando comentarios en una publicación específica de Instagram.

britneyinstagramsquare

Vía Eset/Instagram

Un notorio grupo de hackers está usando un novedoso (aunque no necesariamente nuevo) método para dirigir y controlar el malware que utiliza para lanzar ataques contra gobiernos y militares, dejando comentarios especialmente diseñados en la cuenta de Britney Spears en Instagram. Los investigadores de seguridad de Eset descubrieron que el grupo de hackers, conocido como Turla, aprovecha la puerta trasera recientemente descubierta que se encuentra en una falsa extensión de Firefox dejando comentarios en los medios sociales para que todos los vean. 

Los comentarios, dejados en la cuenta de Instagram, pueden parecer benignos para la mayoría de la gente, pero están diseñados de tal manera que permiten al malware conocer la ubicación del servidor de comandos sin despertar sospechas.

Una vez que el comentario se ha dejado, la extensión, usando la puerta trasera, sabe dónde buscar en Internet para encontrar instrucciones sobre qué hacer a continuación - como entregar ransomware o robar contraseñas, por ejemplo.

Este es el último intento de hackeo de Turla, un grupo que ya tiene unos diez años de antigüedad y que se cree asociado con piratas informáticos rusos y con una inclinación particular por atacar embajadas extranjeras. Hasta la fecha, el grupo ha infectado cientos de sistemas de redes en los últimos años en docenas de países, incluyendo China, Vietnam, Estados Unidos e incluso Rusia. 

Pero el grupo se enfrentó a un desafío. Con el fin de evitar la detección, el servidor de comandos no puede permanecer en un lugar durante demasiado tiempo, aunque el malware todavía necesita saber dónde encontrarlo. En lugar de codificar la dirección del servidor de comandos en el malware, la extensión calculará la dirección del servidor de comandos utilizando una fórmula.

Los investigadores explicaron: 

"La extensión utiliza una URL tipo bit.ly para llegar a su [servidor], pero la ruta URL no se encuentra en el código de extensión. De hecho, obtendrá esta ruta usando comentarios publicados en una publicación específica de Instagram", dijeron los investigadores. "El que se utilizó en la muestra analizada fue un comentario sobre una foto publicada en la cuenta oficial de Britney Spears", agregaron. "La extensión verá el comentario de cada foto y calculará un valor de hash personalizado".

En otras palabras, el malware busca un comentario al azar en una entrada de Instagram, que cuando se convierte en un hash criptográfico, puede convertirse en la dirección Web donde se encuentra el servidor de comandos.

"El hecho de que los actores de Turla estén usando medios sociales como una manera de obtener sus servidores de comandos es bastante interesante", dijeron los investigadores. "Este comportamiento ya ha sido observado en el pasado por otras cuadrillas de amenazas como The Dukes".

Los investigadores añadieron que eso hace que sea difícil de detectar, en primer lugar porque el tráfico luce como cualquier otro, y en segundo lugar debido a la flexibilidad de cambiar la dirección al servidor de comandos, y borrar cualquier rastro de ella.

En el momento de la publicación inicial, el enlace bit.ly tenía sólo 17 clics, que los investigadores dicen "podría indicar que era sólo una prueba".

"Aunque creemos que este es un tipo de prueba, la próxima versión de la extensión -- si la hay -- es probable que sea muy diferente. Hay varias API que son utilizadas por la extensión que desaparecerán en futuras versiones de Firefox ", dijeron los investigadores.

Close
Drag
Autoplay: SI Autoplay: NO