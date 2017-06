Adresse von Kontrollserver wurde in Nutzerkommentar zu Foto des Popstars versteckt

Russische Hacker nutzen Kommentare auf Britney Spears‘ Instagram-Account, um mit ihren Trojanern zu kommunizieren. Das fanden Sicherheitsforscher von Eset heraus, die ein neues Schadprogramm der sogenannten Turla-Gruppe entdeckt. Das Hackerkollektiv soll in Verbindung zu russischen Sicherheitsdiensten stehen und in der Vergangenheit etwa Regierungsbehörden in Osteuropa ausgespäht haben.

Testlauf für neues Schadprogramm

Die neue Malware absolviert momentan vermutlich einen Testlauf: Es handelt sich um eine Firefox-Extension, die sich als "HTML5 Encoding" ausgibt. Das Schadprogramm nutzt eine Lücke in JavaScript und dokumentiert die Aktivitäten von Zielcomputern. Bislang kam sie allerdings erst 17 Mal zum Einsatz. Das wissen die Eset-Forscher, da der Trojaner über eine via Bit.ly-gekürzte Adresse Befehle erhält. Diese wurde in einem Kommentar zu einem Foto auf Britney Spears offiziellem Instagram-Account entdeckt.

Zeichenkombination verrät Adresse

"#2hot make loved to her, uupps #Hot #X", kommentierte Nutzer asmith2155 das laszive Foto des Popsternchens. Tatsächlich lässt sich diese Zeichenfolge in eine Bit.ly-URL umwandeln, indem jeweils der Buchstabe nach einem bestimmten Hash benutzt wird. Dabei handelt es sich um das Unicode-Zeichen \200d, das eigentlich benutzt wird, um Abstand zwischen zwei Emojis zu bewahren. Dieses Zeichen wird – in der normalen Ansicht nicht bemerkbar – im Kommentar auf Instagram benutzt. Kombiniert man jeweils den ersten Buchstaben, der nach dem Hash vorkommt, erhält man die Bit.ly-Adresse.

"Höchst interessant"

Laut Eset können Angreifer über den Kontrollserver, der mit der Adresse für die Malware abrufbar ist, etwa Dateiverzeichnisse bei betroffenen Computern durchsuchen oder Dateien hoch- oder herunterladen. Firefox selbst hat angekündigt, bis Jahresende auf eine neue Variante an Web-Extensions zu wechseln. Spätestens dann würden derartige Angreife keine Früchte tragen. "Es ist höchst interessant, dass soziale Medien benutzt werden, um mit dem Kontrollserver zu kommunizieren", schreibt Eset in einem Blogbeitrag. Dies erschwere die Abwehr von Angriffen, außerdem können leicht Spuren verwischt werden. (red, 7.6.2017)