RSS-Feed als Botnetz C&C
Twitter als Botnetz Kommandozentrale missbraucht
Wie aus einem Blogeintrag von Arbor Networks hervorgeht, wird Twitter als Kommandozentrale eines Botnetzes missbraucht. Ein Forscher von Arbor entdeckte einen RSS-Feed, der von einem Benutzer namens „upd4t3“ (Leetspeech für „update“) dazu genutzt wurde, um Base64 verschlüsselte Nachrichten zu übermitteln. Die Nachrichten lagen in folgendem Format vor:
aHR0cDovL2JpdC5seS9SNlNUViAgaHR0cDovL2JpdC5seS8yS29Ibw==
Nach der Entschlüsselung dieser Nachricht wurden folgende URLs ermittelt:
hxxp://bit.ly/R6STV hxxp://bit.ly/2KoHo
Während die erste URL inaktiv war, ergab eine Analyse der zweiten URL den Download einer Datei namens „out.qqq“, bei der es sich um eine PKZIP-Datei handelte. Die darin enthaltenen Dateien sind im UPX-Format gepackt und werden als Informationsdiebe für sensitive Daten wie Kreditkarteninformationen identifiziert. Der Account und RSS-Feed ist nach Angaben von Arbor Networks nach wie vor aktiv und steht unter Beobachtung durch Twitter. Vermutlich stellt er nur die Spitze des Eisbergs da; es werden zahlreiche weitere Botnetz C&C auf Diensten wie Twitter vermutet. (vgw)