Beveiligingsbedrijf ESET heeft een kwaadaardige Firefox-extensie ontdekt, die als backdoor fungeert en van Instagram-commentaar gebruikmaakt om verbinding te maken met een command-and-controlserver. De backdoor wordt gebruikt door de Turla-groep.
Het bedrijf kwam de extensie tegen tijdens een onderzoek naar de Turla-groep, die van Russische oorsprong lijkt te zijn en waarvan eerder bleek dat deze satellietverbindingen kaapte voor communicatie met c2-servers. Daarnaast gebruikt de groepering zogenaamde watering holes, waarmee zij zich richt op overheden en diplomaten, aldus ESET. Bij de Firefox-extensie, die 'html5 encoding 0.3.7' heet, gaat het om een eenvoudige JavaScript-backdoor, die wordt verspreid via de gehackte website van een Zwitsers beveiligingsbedrijf.
De verbinding werd gemaakt door gebruik te maken van het commentaar op een specifieke Instagram-post van Britney Spears. De extensie bevat code die van elke reactie op de post een aangepaste hashwaarde berekent. Als deze uitkomt op 183, wordt met behulp van regex het pad van een bit.ly-url vastgesteld. De onderzoekers vonden maar één reactie waarvan de hash de gewenste uitkomst had. Deze verwees na toepassing van de regex naar een bepaalde url. Deze werd in het verleden al eens gebruikt als een c2-server in Turla-campagnes, schrijft ESET. Misschien gaat het bij de extensie om een test, omdat de url slechts zeventien keer is bezocht.
Het commentaar op de post bevat bovendien zogenaamde zero width joiners, die worden gebruikt om bepaalde karakters met elkaar te verbinden. De backdoor zelf is relatief eenvoudig, merken de onderzoekers op. Deze biedt de mogelijkheid tot het uitvoeren van bestanden, uploads en downloads naar de c2-server en het uitlezen van directories. Volgens ESET maakt het gebruik van de Instagram-methode het moeilijk om het verkeer met de c2-server als kwaadaardig aan te merken. Daarnaast biedt het de aanvallers de mogelijkheid om van c2-server te veranderen, mocht dit nodig zijn.