Malware on Twitter

In: Guests / 8 comments / Written by:

15 Oct 2009

At Radu’s invitation, I will write about a project I’ve been working at lately. Although it might not be directly connected to entrepreneurial businesses, I hope you find it interesting. Costin

The story goes like this:

A couple of years ago, a colleague of mine from Italy, David Orban, was bugging me about a new thing called Twitter. One night, when we were having coffee and a cigar, he showed me how this website called Twitter.com works, on which you could send a message in which you could write about what you were doing at that time, for example, we were drinking coffee and smoking a cigar at a bar in Sicily and, automatically, all his friends could see this. Then, his friends could also give their opinion if it was cool or not, because smokers die younger and so on.

I admit that, at the time, the idea of a website on which you write what you are doing seemed a little strange, and, most of all, with a maximum of 140 characters per message. First of all, maybe nobody is interested in what you are doing at that time and second of all, in my job, most of what happens is secret, so maybe there wouldn’t be much to say.

But Twitter became increasingly popular and in October 2007 I also created an account. Like almost everyone, 5-6 months passed before I started using it seriously.

The interesting thing is that, in the beginning, you could receive an SMS every time a friend posted something. In practice, this means that every 5 minutes you receive and SMS and if you switch off your phone to go to the cinema, when you come out, you would normally receive 20-30 new messaged. Unfortunately, not much money came out for Twitter from sending messages for free so, in August 2008, they cancelled it. They irritated a lot of people with this, but it wasn’t the end of the world.

Also in August 2008 the first malware attack on Twitter happened. One morning I received a message telling me that a new user is now following me on Twitter. His profile looked something like this:208187558

Even if we don’t know Portuguese, it’s not hard to guess what “Video Pornografico” means and the link in the post led to a Chinese webpage that was distributing malware.

Initially, the incident was isolated, or at least I have never received such messages since then. But slowly, more and more reports about malware attacks on Twitter started appearing.

So I got the idea of implementing a system that tracks everything that happens on Twitter’s public timeline, analyzes everything that is written, extracts URLs and verifies if it redirects the user to malware websites. In the last 9 years, ever since I’ve been working for Kaspersky, I have dealt almost exclusively with designing attack monitoring systems, so the experience existed, and even the infrastructure and servers were already available.

The system, called Krab Krawler (at Kaspersky, there is a custom that all projects must at least contain the letter “k”, if not even start with it) became operational in August 2009. The interns of the Romanian office, Selma Ardelean, Dan Demeter and Alexandru Tudorica programmed it in PHP, having a MySQL database, everything running on Linux systems.

At present, the system is analyzing about half a million URLs a day, downloading an average of 60 GB of data a month. This way, we can monitor new attacks occurring via Twitter and we can add detection in Kaspersky AntiVirus as soon as we discover new malware, because most of these attacks are based on completely new trojans that are undetected by most AV companies.

Twitter is one of the most popular Web 2.0 websites at present. Web 2.0 has become an attractive target for attackers because it is extremely easy to exploit the false sense of trust a name or a photograph you know can give you. For example, if you are friends with Kevin Rose on Twitter and Kevin posts a message saying “Very cool video: http://…”, 95% of those who follow him will click the URL without thinking twice. If, at that address, a warning that a new plug-in must be installed appears, I am sure that at least half of the people following Kevin will consider the idea of running it through the system. That’s because it’s unlikely that a person such as Kevin Rose or Radu Georgescu would want to infect someone deliberately. Most of the attacks through Web 2.0 websites are based on the exploitation of trust in friends or public persons.

For more information, I invite you to see the presentation “Twarfing: Malicious Tweets” online, that I have held at Virus Bulletin, with my friend and colleague Morton Swimmer from Trend Micro:

http://www.slideshare.net/craiu/twarfing-malicious-tweets

Costin G. Raiu
http://twitter.com/craiu

(English version by Teodora Popescu)

Original Romanian version

Malware de pe Twitter

La invitatia lui Radu, va scriu un pic despre un proiect la care am lucrat in ultima vreme. Desi poate nu este direct legat de treburile antreprenoricesti, sper sa il gasiti interesant.   Costin

Treaba sta cam asa:

Acum doi ani si ceva, colegul meu din Italia, David Orban ma batea la cap cu o chestiune noua ce se chema Twitter. Intr-o seara, cand stateam la o cafea si un trabuc, mi-a aratat cum exista acest site care se cheama Twitter.com, pe care poate sa trimita un mesaj cu exact ceea ce facem noi in momentul respectiv, adica de exemplu, bem o cafea si fumam un trabuc la o terasa in Sicilia, si automat toti prietenii lui pot sa vada treaba asta. Dupa care, prietenii pot sa isi dea cu parerea daca e cool sau nu, ca fumatorii mor mai tineri si tot asa.

Rescunosc, la momentul respectiv idea de un site pe care sa scrii ce faci mi s-a parut cam ciudata. Mai ales, cu maxim 140 de caractere pe mesaj. In primul rand, poate nu intereseaza pe nimeni ce faci in momentul respectiv si in al doilea rand, in meseria mea, mai tot ce se intampla e secret, deci, poate n-ar fi prea multe de spus.

Insa Twitter a devenit din ce in ce mai popular si prin Octombrie 2007 mi-am facut si eu cont. Ca mai toata lumea, au trecut 5-6 luni pana sa incep sa-l folosesc mai serios.

Treaba interesanta la inceput era ca puteai sa primesti SMS-uri cand un amic posta ceva. In practica, asta insemna ca la fiecare 5 minute venea cate un SMS, iar daca inchideai telefonul la un film, cand ieseai erau in mod normal 20-30 de mesaje noi. Din pacate, din trimisul de mesaje nu prea ieseau bani pentru Twitter, asa ca prin August 2008 l-au suspendat. Pe treaba asta au incasat destul de multe injuraturi, insa n-a fost sfarsitul lumii.

Tot in August 2008 s-a intamplat si primul atac cu malware pe Twitter. Intr-o dimineata am primit un mesaj ce imi spunea ca un utilizator nou ma urmareste acum pe Twitter. Profilul acestuia arata cam asa:208187558

Chiar daca nu stim Portugheza, nu e greu de ghicit ce inseamna “Video Pornografico” iar link-ul din post ducea la o pagina de web din China, ce distribuia malware.

Initial, incidentul a fost izolat, sau cel putin, eu nu am mai primit astfel de mesaje. Insa incet, incet, au inceput sa apara tot mai multe rapoarte despre atacuri cu malware pe Twitter.

Astfel mi-a venit idea sa implementez un sistem care urmareste tot ce se intampla in timeline-ul public al Twitter-ului, analizeaza tot ce se scrie, extrage URL-urile si verifica daca redirectioneaza utilizatorul care site-uri cu malware. In ultimii 9 ani, de cand lucrez la Kaspersky, m-am ocupat aproape exclusiv de proiectarea de sisteme de monitorizare a atacurilor, deci experienta exista, chiar si infrastructura si serverele erau deja disponibile.

Sistemul, denumit Krab Krawler (la Kaspersky exista un obicei prin care toate proiectele trebuie macar sa contina litera ‘K’, daca nu sa inceapa cu ea) a devenit operational in August 2009. Internii biroului din Romania, Selma Ardelean, Dan Demeter si Alexandru Tudorica l-au programat in PHP, avand in spate o baza de date MySQL, totul ruland pe sisteme Linux.

In momentul de fata, sistemul analizeaza cam jumatate de milion de URL-ul pe zi, descarcand in medie 60GB de date pe luna. In felul acesta, putem monitoriza noile atacuri ce au loc prin intermediul Twitter-ului si putem adauga detectie in Kaspersky AntiVirus imediat ce descoperim malware nou, fiindca majoritatea atacurilor de acest gen se bazeaza pe cai troieni complet noi si nedetectati de majoritatea firmelor producatoare de AV.

Twitter este unul din site-urile Web 2.0 cele mai populare in acest moment. Web 2.0 a devenit o tinta interesanta pentru atacatori, deorece este extrem de usor sa exploatezi falsa impresie de incredere pe care ti-o ofera un nume sau o fotografie cunoscuta. De exemplu, daca esti prieten cu Kevin Rose pe Twitter, iar Kevin posteaza un mesaj de genul “Very cool video: http://…”, 95% din cei care il urmaresc vor da click pe URL fara sa se mai gandeasca. Daca la adresa respectiva apare o avertizare ca trebuie instalat un plugin nou, sunt sigur ca macar jumate vor cocheta cu idea de a-l rula in sistem. Asta fiindca este improbabil ca o persoana precum Kevin Rose sau Radu Georgescu sa vrea sa infecteze pe cineva in mod voit. Marea majoritate a atacurilor prin intermediul site-urile de tip Web 2.0 se bazeaza pe exploatarea increderii in prieteni sau persoane publice.

Pentru mai multe informatii, va invit sa vedeti online prezentarea “Twarfing: Malicious Tweets”, pe care am sustinut-o la Virus Bulletin, impreuna cu prietenul si colegul meu Morton Swimmer, de la Trend Micro:

http://www.slideshare.net/craiu/twarfing-malicious-tweets

Costin G. Raiu
http://twitter.com/craiu

Comments

Avatar

Florin

October 16th, 2009 at 1:31 am

Costin,
Foarte miso articolul si functionalitatea descrisa.Te-ai gandit / e posibil sa faci un business diferit de K din asta ?

Reply to this comment

    Avatar

    Costin Raiu

    October 16th, 2009 at 10:39 am

    Neatza Florin,

    M-am gandit, chiar de mai multe ori. Cand am decis sa merg pe cont propriu, in 2000, intentionam sa imi fac o firma de consultanta pe securitate si sa lucrez la astfel de proiecte. Din lipsa de experienta si alte motive, n-a prea functionat.
    Insa cum se spune, never say never. 🙂

    Costin

    Reply to this comment

      Avatar

      Florin

      October 16th, 2009 at 1:52 pm

      Salve.
      Am cautat pe net Krab Krawler si nu am gasit decat fie prezentari fie discutii, etc. Serviciul este operational ? Ar putea fi operat ca un serviciu ondemand oferit celor care detin site-urile web 2.0 get Twitter ? Un fel de scanner la distanta cu un API care sa le dea posibilitatea celor care opereaza site-urile sa isi faca curat… poate extensibil si la alte site-uri care se pot inregistra si beneficia de serviciu..
      Ar fi un efort de vanzare limitat, cu audienta mica, dar se pot incasa bani ok daca este extensibil si catre alte site-uri care se apropie de paradigma w2.0, etc…
      F

      Reply to this comment

        Avatar

        Costin Raiu

        October 16th, 2009 at 4:09 pm

        Salut Florin,

        Multumesc pentru sugestii! In momentul de fata proiectul este operational, dupa cum spuneam si in post, functioneaza cam din August 2009. Pe moment, datele pe care le produce sunt vizibile doar “intern”, adica este folosit doar de Kaspersky Lab.
        Foarte interesanta ideea ta de a-l extinde ca un serviciu, disponibil “on demand”, pentru alte site-urile de tip web 2.0. Avem deja in plan un astfel de serviciu, pe care sa il putem oferi posesorilor de site-uri web, inclusiv o varianta free, pe care am vrea sa o dezvoltam in principiile “open source”.
        Personal, nu sunt sigur ca se pot face bani din asa ceva, insa datele pe care le obtinem sunt foarte importante in lupta cu programele malware.

        Bafta,
        Costin

        Reply to this comment

Avatar

Radu

October 16th, 2009 at 11:58 am

Vezi ca exista si o versiune romaneasca de twitter care cel putin pana la proba contrarie este sigura: http://www.ciripescu.ro
Desi poate e mai sigura pt ca este mai putin mediatizata

Reply to this comment

    Avatar

    Costin Raiu

    October 16th, 2009 at 12:30 pm

    Salut Radu,

    Multumesc pentru comentariu si pentru link, nu stiam de “ciripescu”.
    Exista de asemenea cirip.ro, unde mi-am facut si eu un cont de test mai demult:

    http://www.cirip.ro/u/craiu

    Din pacate, ambele sunt relativ putin folosite, deci numarul de atacuri care au loc prin intermediul lor este probabil si el foarte mic.

    Alte directii in care facem acum research sunt pentru monitorizarea altor site-uri de tip WEB 2.0, cum ar fi de exemplu DIGG. Pe DIGG exista deja atacuri, povesti false care contin link-uri catre site-uri cu malware.

    Bafta,
    Costin

    Reply to this comment

Comments on other blogs

Avatar

Despre Business Club. Interesant, dar mai este loc… « Chinezu

October 16th, 2009 at 9:39 am

[…] Radu Georgescu a venit cu un alt registru. Cu o sinceritate care mie mi-a plăcut, el a povestit cum funcţionează tărăşenia într-o companie mare, cu acţionari, board şi GM. Foarte interesantă a fost povestea lui despre cum a ajuns la succesul extraordinar cu RAV, dar, mai ales, cum a ratat big time cu alte trei produse. E prima oară când îl văd live, dar omul are clar o charismă “tehnocrată” de mare angajament. […]

Add comment

  • Ceasuri online: Vector Watch este un ceas de care vorbeste toata lumea. O campanie de marketing ce face sa i se just [...]
  • nartip: * 'Ouale' alea depinde de care sunt...unul e un cont de banca,altul de Facebook si/sau de alte tipur [...]
  • Bogdan: Ok... Este doar o constatare sau e prezentarea unei probleme ce necesita o solutie? Un comentariu [...]
  • Andu Potorac: Eu folosesc 1Password si ti-l recomand. Rezolva problema conturilor si a tuturor parolelor, si e sin [...]
  • nartip: Fiind stearsa culoarea am crezut ca e un subsol.Macar neagra fa-o.Cu respect,nartip. [...]
Radu Georgescu
GECAD Group