趋势科技的安全研究人员发现了一种新的恶意软件，可以从攻击者控制的Twitter帐户上发布的表情包中检索命令。通过这种方式，攻击者很难检测到与恶意软件相关的流量，显示出的都是合法的Twitter流量。

使用合法的Web服务来控制恶意软件并不新鲜，过去的骗子使用Gmail，DropBox，PasteBin等合法服务来控制恶意代码。趋势科技发现的恶意软件利用 隐写术 来隐藏Twitter上发布的表情包中嵌入的命令。 隐写术是一种隐藏图像文件中的代码的技术，不是 在Twitter 上独有的攻击形式。多年来，网络犯罪分子在图像文件中嵌入了恶意代码，通常分布在电子邮件malspam广告系列中。然而，这是迄今为止仅使用表情包的第一个例子，它本质上属于病毒。

“这个新的威胁（检测为TROJAN.MSIL.BERBOMTHUM.AA）值得关注，因为恶意软件的命令是通过合法服务（也是一个流行的社交网络平台）接收的，使用看似友好其实恶意的表情包，以及除非禁用恶意Twitter帐户，否则无法删除它。截至2018年12月13日，Twitter已将该帐户下线。”

攻击者在表情包中隐藏了“/ print”命令，它允许他们截取受感染机器的屏幕截图并将其发送回C＆C服务器，该服务器的地址通过pastebin.com上的硬编码URL获得。BERBOMTHUM恶意软件检查攻击者使用的Twitter帐户，下载 和 扫描meme文件，并提取它们包含的命令。

不法分子使用的Twitter帐户创建于2017年，仅包含10月25日和26日发布的两条内容。这些图像用于向恶意软件发送“/ print”命令。恶意软件当前处于开发阶段早期，Pastebin链接指向本地表明这或许只是攻击者的测试，推文内容无法单独引发感染，它们只是激活已经被感染的机器的渠道。