Puede que el título te parezca una absoluta broma, pero no es el día de los inocentes. Resulta un grupo de hackers rusos conocidos como Turla, habría estado ocultando comandos de ejecución de malware en el Instagram de Britney Spears.
El grupo de hackers que tiene un largo historial delictivo. Entre sus fechorías se encuentran la publicación de un malware llamado Wipbot, que infecto ordenadores con Windows, y posteriormente de Linux, de embajadas y gobiernos de países europeos en 2014. El pasado mes de marzo, Turla utilizó varias vulnerabilidades en Windows para infiltrarse en ordenadores de diferentes gobiernos y ejércitos. Una de las razones que vuelven a Turla difícil de rastrear es que utilizan Internet satelital.
Pues bien, un nuevo informe publicado por ESET, ha descrito como un troyano habría estado utilizando el perfil de Instagram de la cantante estadounidense Britney Spears para recibir la localización de los servidores de control que le enviaban ordenes de ejecución y al que se deberían enviar la información sustraída de los ordenadores infectados.
Evidentemente, esta técnica dificulta a los investigadores en seguridad el rastrear el origen de los servidores y bloquearlos ya que estos no son mencionados en el código principal del malware conocido como Turla. Además, la comunicación con el servidor estaba cifrada hasta cierto punto haciendo más complicada su detección.
¿Cómo se daba el ataque?
En principio, las víctimas debían tener instalada una extensión diseñada para Firefox (la cual ha sido eliminada de la tienda de extensiones). Esta extensión ejecutaba una búsqueda del servidor del atacante para comenzar a recibir órdenes y enviar información. Los servidores se ocultaban en comentarios a las fotos del perfil de Instagram de Britney Spears.
La extensión localizaba un comentario cuyo hash fuera igual a 183 y ejecutaba una expresiones regulares (regex) para completar una URL oculta en Bit.ly. Entonces, por ejemplo, el mensaje a continuación:
Se convertía en la siguiente URL siguiente:
http://bit.ly/2kdhuHX
#2hot make loveid to her, uupss #Hot #X
La URL redirigía al servidor usado por el atacante para enviar diversas instrucciones a Turla. Bit.ly por supuesto ha dado de baja a la URL acortada, y además asegura que solo 17 usuarios abrieron el enlace. Este último dato, según los investigadores, revela que el ataque se encuentra en fase experimental y/o era un ataque muy dirigido. Firefox por su parte esta reforzando la seguridad en la tienda de extensiones para evitar que esto vuelva a ocurrir.