Een beveiligingsexpert is bij toeval gestuit op een botnet waarbij gebruik wordt gemaakt van Twitter-berichten om de bots aan te sturen. De hackers lijken het gemunt te hebben op het stelen van inloggegevens van Braziliaanse banken.
Jose Nazario, hoofd security research bij Arbor Networks, kwam de botnetactiviteit via Twitter op het spoor doordat de bots via de rss-feed van het bewuste 'upd4t3'-account hun instructies kregen. De instructies zien er uit als onzinnige tekststrings, maar blijken volgens de beveiligingsexpert met base64-geëncodeerde blokken tekst.
Na het decoderen leveren deze blokken een pkzip-archief op, dat uitgepakt de bestanden gbpm.dll en gbpm.exe bevat. Het dll-bestand stuurt volgens de onderzoeker waarschijnlijk inloggevens naar een aantal url's van een Braziliaanse bank, terwijl het exe-bestand te herleiden is naar de Buzus-trojan. Uit een update van Nazario blijkt dat de zogeheten infostealer voornamelijk in Brazilië actief is met een honderdtal besmettingen. Het Twitterbotnet-account is inmiddels door Twitter offline gehaald.
Overigens is de gebruikte botnettechniek via Twitter-berichten niet nieuw. Zo weet 'Tom' in de comments van het artikel op Arbor Networks te melden dat de proof-of-concept-code hiervoor al eind juli, op de Defcon 17-conferentie, naar buiten is gebracht. Van de presentatie daarvan is een video verschenen. Ook daarbij werd gebruikt gemaakt van base64-encodering van de Twitter-berichten.