Imagens são inofensivas para visitantes, mas ocultam comandos que são interpretados por vírus.

Muitas pragas digitais disseminadas hoje na internet dependem de uma infraestrutura de "comando e controle": algo que permita ao vírus receber comandos de criminosos e instruções sobre quais dados devem ser capturados e para onde eles deviam ser enviados, por exemplo. De acordo com um alerta da fabricante de antivírus Trend Micro, criminosos estão escondendo esses comandos em imagens publicadas no Twitter que se parecem com memes.

Em um exemplo mostrado pela Trend Micro, uma conta no Twitter associada ao vírus publicou um meme com a cena a pílula vermelha do filme "Matrix", com o personagem Morpheus. O meme normalmente consiste em uma imagem do personagem com a frase "What if I told you" ("e se eu te disser" ou "e se eu te dissesse", nas versões em português).

A imagem em si é totalmente inofensiva. Porém, ao ser baixada pelo vírus, a praga digital consegue "enxergar" o comando oculto no meme e realizar uma tarefa. De acordo com a Trend Micro, as imagens analisadas possuíam o comando "print", que é interpretado pelo vírus como uma ordem para fazer uma captura de tela.

Além desse comando, o vírus ainda pode receber instruções para guardar a lista de programas em execução, capturar o conteúdo da área de transferência (que guarda o que é copiado com "CTRL-C"), capturar o nome de usuário do computador ou copiar um arquivo com um nome específico.

A conta do Twitter usada pelo vírus foi criada em 2017, mas os memes foram publicados no fim de outubro.

A técnica de ocultar dados em meio a outros dados é chamada de esteganografia. O objetivo do emprego dessa técnica em casos como esse é dificultar a identificação das imagens como parte de um esquema criminoso e retardar ações de repressão por parte de provedores de serviços como o Twitter.

Comando e controle

A infraestrutura de comando e controle usada por vírus é de grande importância para os criadores de pragas digitais. Quando essa infraestrutura é derrubada ou apreendida pelas autoridades ou por pesquisadores, muitas vezes é possível obter detalhes sobre o funcionamento do vírus, suas vítimas e até amostras de informações capturadas.

Quando essa infraestrutura sai do ar, o criador do vírus perde a capacidade de controlar sua criação. Por esse motivo, criminosos buscam meios insuspeitos para administrar os vírus. Isso ajuda a infraestrutura a ficar mais tempo no ar, sem ser identificada ou perturbada.

A contada usada pelo vírus identificado pela Trend Micro já foi suspensa pelo Twitter. Isso significa que, se o criador do vírus não se preparou com um "plano B", o vírus pode ser até incapaz de realizar novas atividades maliciosas.

Caso semelhante ocorreu com a primeira versão do vírus do vírus WannaCry, que foi freada após o endereço do servidor de controle, que estava vago, ser obtido por pesquisador de segurança.

Fonte: G1 - 19/12/2018