Un grupo de espionaje cibernético conocido como Turla ha estado jugando con un troyano de puerta trasera disfrazado de una extensión para Firefox que utiliza comentarios sobre Britney Spears
Descubierto en una reciente campaña de distribución por investigadores de ESET, esta extensión de Firefox es parte de un arsenal más amplio de herramientas utilizadas por el Turla APT ("se cree es el ciber-brazo de la inteligencia rusa").El modo principal del grupo de operación es a través de sitios comprometidos que se cargan código malicioso que descargar y ejecutar archivos maliciosos en el ordenador del usuario por la fuerza. Este tipo de ataque es conocido como una descarga dirigida y es utilizado por paquetes de exploits, campañas malvertising, y unidades de espionaje cibernético.
La extensión de Firefox no está instalado por la fuerza, pero los investigadores han visto en el sitio comprometido de una empresa de seguridad suiza.
Se pidió a los visitantes de este sitio instalar la extensión, llamado HTML5 Encoding. ESET dice que esto es una simple puerta trasera basada en JavaScript que informa de la actividad del usuario de vuelta a sus operadores.
Esta no era la primera vez que los investigadores vieron una extensión para Firefox entrega de una puerta trasera. En julio de 2016, los investigadores descubrieron Bitdefender una nueva unidad de ciberespionaje, que llamaron Chupete APT, que también utiliza una extensión de Firefox para instalar puertas traseras en los dispositivos de los usuarios.
Esa extensión para Firefox, llamado langpack-en-GB, utiliza una táctica diferente, ya que emplea macro-atado archivos de Word que se le pide al usuario para instalar la extensión.
Cuando tomaron una mirada más atenta a los resultados de Bitdefender, los investigadores de ESET dieron cuenta de que la extensión de Firefox que descarga una versión de la puerta trasera Skipper, una conocida familia de malware Turla. A medida que el software malicioso Skipper es única para Turla, esto significa que la campaña que tenía como objetivo Chupete instituciones gubernamentales rumanos era más probable es que el trabajo de la Turla APT.
El uso de Instagram fotos para codificar URL del servidor C & C
Mientras que la primera extensión para Firefox se desplegó activamente en una campaña de ciberespionaje, los investigadores dicen que HTML5 Encoding, parece ser sólo una prueba.Dicen esto porque la extensión de Firefox utiliza una dirección URL del servidor de C & C, que se resolvió a través de una URL corta Bit.ly, lo que permitió a los investigadores detectar cuántas veces se accedió a la URL. Según el equipo de ESET, esto era sólo 17 veces en el momento en que lo descubrieron, es decir, la extensión apenas se utiliza.
Pero lo más extraño no era que han descubierto una puerta trasera oculta dentro de una extensión de Firefox rara vez se utiliza. Lo más sorprendente es cómo la extensión resuelve su dominio del servidor C & C.
De acuerdo con ESET, el malware se conectaría a la sección de comentarios de una foto se carga en la cuenta de Instagram de Britney Spears y la búsqueda de un comentario que tenía un hash con el valor
Los investigadores dicen que sólo un comentario que tenía valor hash, y que contenía comentario ocultos que se utilizaron para resolver el dominio del servidor C & C.
A continuación se muestra la explicación de ESET para la forma en que el malware se resuelve el dominio C & C
En cuanto a los comentarios de la fotografía, sólo había uno para el cual el hash partidos 183. Este comentario fue publicada el 6 de febrero, mientras que la foto original fue publicada a principios de enero. Tomando el comentario y ejecución a través de la expresión regular, se obtiene la siguientebit.ly/2kdhuHX
Mirando un poco más de cerca la expresión regular, vemos que está buscando, ya sea @ | # o la de caracteres Unicode \ 200d. Este personaje es en realidad un carácter no imprimible llamada 'de ancho nulo', que normalmente se utiliza para separar emojis. Pegar el comentario real o buscando en su origen, se puede ver que este personaje precede a cada personaje que hace que la ruta de la URL bit.ly:
smith2155 <200d> # 2h ma ot <200d> k e Lovei <200d> d a < 200d> h er, <200d> u UPS <200d> # h ot <200d> # X
Cuando la solución de este enlace acortado, que conduce a static.travelclothes.org/dolR_1ert.php, que fue utilizado en el pasado como un agujero de riego C & C por la tripulación Turla.
ESET dice que esta extensión para Firefox contenía algunas características muy intrusivas, lo que permite a la tripulación Turla leer el contenido de un directorio, descargar y cargar archivos desde y hacia el servidor C & C, y ejecutar archivos en la máquina infectada. Estas son las características básicas, en comparación con puertas traseras más potentes, pero son más que suficientes para un atacante experto.
La buena noticia es que este tipo de ataque pronto quedará obsoleta. Al final del año, Firefox planea alejarse de la vieja NPAPI complementos API a una nueva API llamada WebExtensions.
