Según un reporte de ESSET Security, una compañía de seguridad eslovaca, un grupo de hackers rusos está utilizando Instagram para transmitir instrucciones a su malware de manera automática y, hasta el momento, desapercibida. Resulta que, entre los casi 7000 comentarios publicados en la foto de Britney Spears que encontrarás a continuación, había un mensaje peculiar, que podría haber pasado como simple spam, sin embargo, era un complicado código con instrucciones para que el malware ruso pudiera conectarse con sus controladores.
El malware en cuestión, estaba escondido dentro de una extensión de Firefox que se hacía pasar por un sistema de seguridad para engañar a los usuarios de este navegador. Este malware está diseñado para revisar estos comentarios, buscando links ocultos, que le permiten conectarse con el servidor de los hackers para recibir instrucciones.
Esto quiere decir que este malware ruso revisó todos los comentarios de la fotografía de Britney, buscando un hash específico. Al encontrar el comentario que lo contenía, el malware lo revisa y detecta caracteres especiales y toma las letras siguientes y las convierte en un link. A través de ese link, el malware se conecta con sus controladores, quienes pueden cambiar la ubicación de reunión para controlar el malware cada vez, sin necesidad de modificar al malware en si.
En el caso de esta foto, el malware revisará todo el mensaje, después de encontrar el hash, además del hash, el malware buscará un carácter especial invisible, llamado “Zero With Joiner” que se utiliza para combinar emojis. Después de encontrar estos 2 elementos, el malware tomaría las letras siguientes y las usaría para reconstruir parte de un link de Bit.ly que lo llevaría a conectarse con los hackers, para recibir instrucciones. Así que el mensaje que podemos ver en la imagen de arriba, sería leido así por el malware incluyendo al caracter invisible, representado por "< 200d >":
smith2155< 200d >#2hot ma< 200d >ke love< 200d >d to < 200d >her, < 200d >uupss < 200d >#Hot < 200d >#X
Y esto se convertiría en el siguiente link: http://bit.ly/ 2kdhuHX
Aparentemente, ESET Security determinó que este link era solo una prueba para el sistema de instrucciones del malware, aunque lograron descubrir información que apunta a que los hackers involucrados pertenecen al grupo conocido como Turla. Turla, aparentemente, ha atacado a gobiernos, funcionarios públicos y diplomáticos, desde hace un tiempo. Nosotros, por nuestra parte, sólo podemos decir:
Deja tu comentario