Los memes son ya una parte inseparable de Internet. Cada vez van surgiendo nuevos, y los más graciosos se comparten miles de veces en la red. Por ello, es peligroso que haya atacantes que hayan conseguido que a través de esas imágenes se pueda robar información de un ordenador de manera remota.

Un malware que se aprovechaba de código escondido en memes de Twitter

Así lo ha descubierto Trend Micro, en un ataque que fue detenido el pasado 13 de diciembre, y que podría ser una pequeña muestra de lo que está por llegar. La esteganografía es una técnica que consiste en ocultar carga maliciosa dentro de una imagen para saltarse métodos de seguridad, y este malware hacía uso de ella.

La cuenta que descubrieron realizando esta práctica fue creada en 2017, y publicó dos tweets el 25 y 26 de octubre. En esos tweets había dos imágenes de dos memes que contenían un comando oculto, el cual es accedido por un malware en un PC. Es importante tener en cuenta que un ordenador ha de estar ya infectado con el malware para que éste inicie la comunicación con los comandos ocultos en los memes.

El malware, un troyano con nombre TROJAN.MSIL.BERBOMTHUM.AA, no está alojado en ningún momento en Twitter. Lo que hace es que, cuando infecta un ordenador, descarga las imágenes de los tweets y las utiliza para obtener los comandos de control. La única manera de pararlo fue desactivar la cuenta de Twitter de los atacantes.

Podía tomar capturas de pantalla, copiar contenido del portapapeles, y robar archivos de tu PC

Dentro de los memes hay un comando “/print”, que permite al malware tomar capturas de pantalla del ordenador infectado. Esas capturas de pantalla se mandan al servidor C&C cuya dirección está disponible a su vez en un enlace de Pastebin. Ese enlace de Pastebin lleva a una dirección IP local, lo cual parece ser un número al azar que los creadores del malware han puesto en esta prueba antes de lanzar un ataque a mayor escala. Además de tomar capturas, también obtenía información del sistema, como los procesos abiertos, el contenido del portapapeles, el nombre de usuario y los archivos almacenados en rutas predefinidas, como el escritorio, AppData, etc.

Además de las imágenes de Twitter, el malware podría haberse diseñado contactar fácilmente con cualquier otro servicio de la red que pueda ser accedido de forma pública, como GitHub o Drive. Lo curioso del asunto es que estén disponibles de manera tan abierta y que a su vez escondan parte de un código que pueda robar grandes cantidades de datos de tu ordenador.

Hoy, Twitter ha hecho un nuevo cambio para los usuarios de iOS, donde permite ordenar nuevamente de manera cronológica los tweets. De momento está disponible en iOS, pero más adelante llegará también a Android.