Twitter blijkt cybercriminelen allerlei mogelijkheden te geven om hun dubieuze activiteiten te ontplooien, want naast het gebruik van kwaadaardige Tweets, is ook de Twitter API erg in trek. Beveiligingsonderzoeker Denis Sinegubko ontdekte dat de API voor het genereren van de 30 populairste onderwerpen, wordt gebruikt voor het verbergen van kwaadaardige code die naar exploitsites linkt. Het script gebruikt de tweede letter van de meest populaire Twitter zoekopdracht van twee dagen eerder, om te bepalen naar welke exploitsite die een slachtoffer moet doorsturen. Daardoor hebben aanvallers één dag de tijd om de nieuwe domeinnaam te registreren die de volgende dag actief zal zijn. Aanvallers plaatsen de Twitter code vervolgens op gehackte websites.

Doordacht
Volgens Sinegubko heeft dit als voordeel dat het gehele script minder verdacht lijkt. Het script in kwestie is zwaar geobfusceerd om eenvoudige detectie te voorkomen, wat nog eens wordt vergroot doordat de functie die voor alle narigheid zorgt, nergens expliciet wordt aangeroepen. Daarvoor gebruiken hackers de 'callback' feature van de Twitter API. Twitter stuurt dan de JavaScript terug die de door de hacker opgegeven functie aanroept en vervolgens de kwaadaardige iframe injectie veroorzaakt. "Dit is waarschijnlijk het meest creatieve script dat ik tot nu toe zien heb. Gelukkig voor ons is het niet goed doordacht", aldus Sinegubko. Van de gegenereerde domeinnamen was er slecht één geregistreerd.

Volgens een reactie op het blog van Sinegubko is de onderzoeker op de Mebroot malware gestuit, ook bekend als Sinowal of Torpig. Het algoritme dat de malware gebruikt voor het genereren van drive-by-download servers, werd onlangs met de Twitter API bijgewerkt.

bron: security.nl