O malware detetado pela Trend Micro funciona como os mais primitivos trojans RATs (de primitive remote access): infeta um computador vulnerável, faz capturas de ecrã e envia dados dos sistemas para o servidor de controlo. Este código malicioso fica depois “à escuta” de uma certa conta do Twitter, gerida pelo operador do malware, para receber instruções ocultas em memes.
A Trend Micro revela ter encontrado pelos o comando “/print” em pelo menos dois tuítes. Este comando faz com com que o código malicioso guarde uma captura de ecrã. Noutro toque de criatividade, os criadores do malware publicam depois o endereço de onde está o servidor num post do Pastebin e o código envia a informação para aí. Outras potenciais instruções maliciosas são “/processos” que dá acesso aos processos em execução, “/clip” para partilhar os conteúdos da área de transferência ou “/docs” para se ter acesso a pastas específicas, lembra o Tech Crunch.
Ainda não é conhecida a origem do malware, estimando-se que tenha surgido em meados de outubro. Não há qualquer perspetiva sobre que utilização futura irão dar os criadores a este código, ficando no ar a teoria de que, porque o post do Pastebin publica uma morada fora da Internet, estamos perante uma versão de testes para ataques futuros.
Ao estabelecer uma ligação com o Twitter.com, os criadores esperam conseguir passar mais vezes pelas ferramentas anti-malware. A conta do Twitter mencionada pela Trend Micro foi bloqueada permanentemente.