News

Wie Britney Spears‘ Instagram-Profil für Malware-Steuerung genutzt wird

Befehle für den C2-Server werden in Instagram-Kommentaren versteckt. (Bild: Eset/Instagram)

Die Instagram-Seite von Britney Spears wird nach Angaben einer Sicherheitsfirma genutzt, um Verbindungen zu Command-und-Control-Servern herzustellen.

Kriminelle der Turla-Gruppe nutzen nach einem Bericht der Sicherheitsfirma Eset Kommentare unter Instagram-Posts, um Verbindungen zwischen infizierten Opfern und den Command-und-Control-Servern der Gruppe herzustellen. Bestimmte Kommentare werden dabei zu Bit.ly-Links transformiert, die dann zur Übermittlung der Befehle genutzt werden. Eset schreibt, dass dazu unter anderem der Account von Britney Spears verwendet wurde. In der Vergangenheit hatte die Turla-Gruppe vor allem Ministerien und Botschaften in Staaten der ehemaligen Sowjetunion angegriffen.

Die Opfer werden im aktuellen Fall über ein Firefox-Addon infiziert, das sich als Sicherheitssoftware tarnen soll. Nutzer werden von einer präparierten Webseite aufgefordert, das entsprechende Programm zu installieren. Die weiteren Befehle für den Angriff werden dann aber nicht über einen im Quellcode vermerkten Server empfangen, sondern über einen Bit.ly-Link. Die jeweils ausschlaggebende Endung dieses Links wird aus Kommentaren berechnet, die unter Posts bei bekannten Instagram-Accounts stehen.

Übersetzung mittels Regular Expression

Der Kommentar „2hot make loved to her, uupss #Hot #X“ wird zum Beispiel zur Kurz-URL „http://bit.ly/2kdhuHX“. Die Übersetzung erfolgt dabei mit Hilfe sogenannter Regular Expressions. Mit dieser Taktik soll mutmaßlich die Entdeckung der Angriffe durch Antivirenprogramme erschwert werden.

Die Turla-Gruppe ist seit mehreren Jahren dafür bekannt, sogenannte Watering-Hole-Angriffe durchzuführen. Dabei werden Rechner initial mit einer bestimmten Malware infiziert. Dazu werden bestimmte, von den potenziellen Opfern häufig genutzte Webseiten infiziert, von wo aus die Viren dann per Drive-By-Angriff auf den Rechner gelangen. Das kann zum Beispiel die harmlos aussehende und schlecht geschützte Webseite eines lokalen Restaurants sein, bei dem Mitarbeiter einer Organisation das Tagesmenü abrufen.

Autor des Artikels ist Hauke Gierow. 

Ebenfalls spannend: 

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung