Мы уже некоторое время следим за историей трояна Flashback, который нацелен на пользователей Mac, маскируясь под установщик Flash Player, но который также развивался, включая все более изощренные тактики для заражения компьютеров пользователей.

Антивирусная компания Intego сообщает, что создатели Flashback используют новую интересную тактику для связи с машинами, зараженными трояном: Twitter. Согласно отчету, Flashback запрограммирован на поиск в Twitter твитов, содержащих уникальный 12-значный код, который меняется ежедневно, причем авторы вредоносного ПО могут отдавать команды зараженным компьютерам, публикуя сообщения с любого количества учетных записей Twitter, просто включая соответствующий код в качестве хэштега.

Эти хэштеги не такие простые, как, скажем, #Flashback или #MacMalwareMaster, а кажутся случайными строками символов, которые меняются каждый день. Команда исследователей вредоносных программ Intego взломала шифрование RC4 с ключом 128 бит, используемое для кода Flashback, и обнаружила ключи к этой системе.

Хэштеги состоят из двенадцати символов. Четыре символа обозначают день, четыре — месяц и четыре — год. […]

Итак, на сегодня, 5 марта 2012 года, хэштегом будет #pepbyfadxeoa.

Intego отслеживает Twitter в поисках команд, выпускаемых с использованием хэштегов, также отмечая, что Flashback использует ряд различных строк пользовательских агентов в своих веб-запросах при поиске контактов в Twitter, пытаясь избежать обнаружения и удаления.