Hakerët përdorën Ars Technica dhe Vimeo për të ofruar malware duke përdorur udhëzime binare të turbullta në një URL
Që nga virusi i parë kompjuterik, malware ka qenë një lojë mace e miu midis hakerëve dhe studiuesve të sigurisë. Është deri në pikën ku dihet shumica e malware, të paktën në llojin dhe mënyrën e dorëzimit. Megjithatë, aktorët e këqij herë pas here konceptojnë një truk të ri për të fshehur gjurmët e tyre dhe për të mashtruar kapelet e bardha.
Firma e analitikës së sigurisë Mandiant zbuloi kohët e fundit një zinxhir sulmi “të paparë më parë” që përdorte kodimin e Base 64 në të paktën dy uebfaqe të ndryshme për të ofruar ngarkesën e fazës së dytë të një malware me tre faza. Dy faqet ishin publikimi i teknologjisë Ars Technica dhe faqja e pritjes së videove Vimeo.
Një përdorues postoi një foto të një pice në forumin Ars Technica me mbishkrimin, “Më pëlqen pica”. Nuk kishte asgjë në thelb të gabuar me imazhin ose tekstin. Megjithatë, fotografia, e organizuar në një faqe interneti të palës së tretë, kishte një URL që përmbante një varg Bazë 64. Baza 64 e konvertuar në ASCII duket si karaktere të rastësishme, por në këtë rast, errësoi udhëzimet binare për të shkarkuar dhe instaluar fazën e dytë të një pakete malware. Në një rast tjetër, një varg identik u shfaq në përshkrimin e një videoje të padëmshme në Vimeo.
Një zëdhënës i Ars Technica tha se hoqi llogarinë – e krijuar nëntorin e kaluar – pasi një përdorues anonim informoi faqen e internetit për lidhjen e çuditshme për imazhin (më poshtë).
Faza e dytë, e quajtur “Emptyspace”, është një skedar teksti që shfaqet bosh për shfletuesit dhe redaktuesit e tekstit. Megjithatë, hapja e tij me një redaktues hex zbulon një skedar binar që përdor një skemë të zgjuar kodimi të hapësirave, skedave dhe linjave të reja për të krijuar kodin binar të ekzekutueshëm. Mandiant pranon se kurrë nuk e ka parë këtë teknikë të përdorur më parë.
“Kjo është një mënyrë e ndryshme dhe e re që ne po shohim abuzime që mund të jetë shumë e vështirë për t’u zbuluar,” tha studiuesi i Mandiant, Yash Gupta, për Ars. “Kjo është diçka në malware që zakonisht nuk e kemi parë. Është shumë interesante për ne dhe diçka që donim të thërrisnim.”
Pas ekzekutimit, Emptyspace anketon vazhdimisht një server komandimi dhe kontrolli dhe shkarkon një backdoor të quajtur “Quietboard” në komandë. UNC4990 përdor derën e pasme për të instaluar minatorët e kriptomonedhave në makinat e infektuara. Megjithatë, Mandiant thotë se ka gjurmuar vetëm një shembull të vetëm të një instalimi Quietboard.