黑客通过隐藏在Twitter上的meme（梗）中的命令来控制恶意软件

这是一种新发现的恶意软件控制方式。

Trend Micro的安全研究人员近期发现了一种新的恶意软件，它会从攻击者控制的Twitter账户上所发布的meme（模因，也可以称为梗）中检索黑客所发布的命令。这种命令下发方式加大了恶意软件相关的流量的检测难度，因为在这种情况下，这些恶意软件流量看起来是合法的Twitter流量。

使用合法的Web服务来控制恶意软件并不是头一回，过去的也曾有黑客使用合法的网络服务，例如Gmail、DropBox、PasteBin以及Twitter来控制恶意软件。

而此次，Trend Micro发现黑客利用了隐写术将发送给恶意软件的命令隐藏在Twitter上的meme中。

“这种新的安全威胁（标记为TROJAN.MSIL.BERBOMTHUM.AA）是值得人们关注，因为恶意软件是通过合法的服务（流行的社交网络平台）接收的命令的，黑客往帐号上传了一个看起来无害但包含恶意代码的meme，除非封禁这个恶意帐户，否则它就一直生效。”Trend Micro发布的报告说道。

“截至2018年12月13日，Twitter已经下线这个帐户。”

攻击者将“/print”命令隐藏在memes中，该命令是让恶意软件截取受控制的机器的截图，并将其发送回C&C服务器，服务器的地址是通过pastebin.com网站上的一个硬编码URL获得的。

BERBOMTHUM恶意软件会下载攻击者指定的Twitter帐户的内容，扫描meme文件，并提取其中包含的命令。

这个黑客使用的Twitter账户创建于2017年，分别在10月25日和26日发布了两个meme，用于向恶意软件传递“/print”命令。

在恶意软件支持的命令列表如下：

命令描述                  描述

/print                  屏幕截图

/processos          检索正在运行的进程的列表

/clip                  捕捉剪贴板内容

/username            从受控制机器上的用户名

/docs        从预定义的路径检索文件名，例如（桌面，%AppData%等）。

根据Trend Micro的说法，该恶意软件正处于早期开发阶段，其中Pastebin上存放的链接是指向本地。

原文链接：https://securityaffairs.co/wordpress/78991/malware/malware-twitter-memes.html