Una BotNet controllabile da Twitter!

TwitterNet è il nome del nuovo malware in grado di creare una BotNet completamente gestibile tramite il famoso Social Network Twitter.

Il MalWare TwitterNet inoltre presenta una interfaccia GUI per configurarlo ed è sicuramente accessibile ai più Lamer Newbie, con due semplici Click si può creare l’eseguibile, renderlo invisibile agli antivirus ed iniziare a diffonderlo.

Il Malware viene identificato con il nome: Hacktool.win32.Twebot.A. ed è ad oggi identificato da più antivirus.

Ora capiamo realmente come funziona…

Il primo passo è quello di avviare il Builder, ovvero il creatore del nostro Malware che si chiama TwitterNet Builder.

Una volta avviato il Builder ci verrà esclusivamente chiesto il NickName dell’amministratore, colui che avrà il controllo della macchina zombie che ovviamente deve essere già registrato su Twitter. Clikkiamo ora su Build…

Otterremo quindi il nostro MalWare di nome TwitterNET.exe ed ora non ci resta che distribuirlo alle vittime con qualche tecnica di Social Engineering.

Il controllo invece di questi Zombi è relativamente facile, bisognerà esclusivamente impostare il proprio stato di Twitter con uno dei comandi predefiniti e lo zombi eseguirà ciò che gli è stato impartito.

I comandi disponibili sono diversi, ed ovviamente è comprensivo anche l’attacco DDoS:

  • .VISIT*link.it*0/1, il comando permette di far visitare alla vittima un sito internet a scelta con la facoltà (tramite 0 o 1) di rendere o meno visibile il collegamento appena richiesto;
  • .DDOS*IP*PORT, permette l’attacco DDoS sul protocollo UDP e richiede l’IP e la Porta dell’host da attaccare;
  • .SAY*CIAO*, simpatico ma inutile Tool che sfrutta il riproduttore vocale di Windows per pronunciare una frase nel nostro caso la parola CIAO;
  • .DOWNLOAD*link.it/file.exe*0/1, il commando avvia una sessione di Download indicando con 0 il solo salvataggio del file, mentre con 1 anche l’esecuzione;
  • .STOP, il comando blocca qualsiasi azione in corso (DDoS, Download, ecc ecc)
  • .REMOVEALL, permette di eliminare il boot

In questa immagine vediamo il comando .REMOVEALL impartito da diversi utenti alle proprie BotNet, basta effettuare una ricerca su Twitter per vedere che tale tipologia di attacco è sfruttata ed in costante crescita.

Ringrazio sunbeltblog per le foto che ci ha fornito, purtroppo non siamo riusciti a reperire il Builder per farvi qualche screenshot in esclusiva.