«Русские хакеры» использовали фото Бритни Спирс для управления вредоносным ПО

В ходе недавней киберпреступной операции хакерская группировка Turla использовала весьма необычный троян. Вредоносное ПО маскируется под расширение для Firefox и хранит данные о расположении своего C&C-сервера в комментарии под фотографией певицы Бритни Спирс в Instagram.

Как сообщают исследователи компании ESET, обнаруженное ими вредоносное расширение является частью гораздо более обширного арсенала хакерских инструментов, имеющегося в распоряжении Turla. Как правило, для распространения вредоносного ПО группировка использует взломанные сайты, загружающие на систему жертвы код, который в свою очередь загружает и выполняет вредоносные файлы. Такие атаки известны как «drive-by» и используются операторами наборов эксплоитов, а также в ходе рекламных и кибершпионских кампаний.

Исследователи обнаружили вредоносное расширение для Firefox на взломанном ресурсе одной из швейцарских компаний. Когда пользователь заходит на сайт, ему предлагается установить расширение HTML5 Encoding, представляющее собой написанный на JavaScript простой бэкдор, сообщающий своим операторам об активности пользователя.

По мнению исследователей, атаки с использованием HTML5 Encoding являются тестовыми. Эксперты пришли к такому выводу, поскольку расширение использует короткий URL-адрес C&C-сервера, созданный с помощью сервиса Bit.ly, благодаря чему исследователи смогли определить, сколько раз к URL получали доступ. Как оказалось, по адресу обращались всего лишь 17 раз, а значит, расширение практически не использовалось.

Как уже упоминалось выше, спрятанный в расширении бэкдор подключается к C&C-серверу через комментарий к фотографии Бритни Спирс в Instagram. Вредонос ищет комментарии со значением хеша 183. Такое значение есть только у одного комментария, содержащего скрытые символы, указывающие на адрес домена C&C-сервера.

Turla – кибершпионская группировка, предположительно связанная с российскими спецслужбами. По данным «Лаборатории Касперского», в арсенале группировки присутствует модифицированная версия трояна Loki2, использовавшегося в ходе одной из старейших в истории кибершпионской кампании Moonlight Maze в 1990-х годах.