Car-tech

Il malware utilizza Google Docs come proxy per comandare e controllare il server

HACKLOG 2x13 - Guida all'OSINT (Google Hacking & Shodan)

HACKLOG 2x13 - Guida all'OSINT (Google Hacking & Shodan)
Anonim

Ricercatori di sicurezza del fornitore di antivirus Symantec ha scoperto un malware che utilizza Google Docs, che ora fa parte di Google Drive, come ponte per comunicare con gli autori di attacchi al fine di nascondere il traffico dannoso.

Il malware, una nuova versione della famiglia Backdoor.Makadocs, utilizza la funzione "Visualizzatore" di Google Drive come proxy per ricevere istruzioni dal vero server di comando e controllo. Google Drive Viewer è stato progettato per consentire la visualizzazione di vari tipi di file da URL remoti direttamente in Google Documenti.

"In violazione delle norme di Google, Backdoor.Makadocs utilizza questa funzione per accedere al server C & C [command in control]" ha detto il ricercatore di Symantec Takashi Katsuki, venerdì in un post sul blog.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

È possibile che l'autore di malware abbia utilizzato questo approccio per rendere più difficile la rete prodotti di sicurezza per rilevare il traffico dannoso, poiché appariranno come connessioni crittografate - Google Drive utilizza HTTPS per impostazione predefinita - con un servizio generalmente attendibile, Katsuki ha detto.

"L'utilizzo di qualsiasi prodotto Google per svolgere questo tipo di attività è una violazione di le nostre politiche sui prodotti ", ha dichiarato lunedì un rappresentante di Google via email. "Esaminiamo e prendiamo provvedimenti quando veniamo a conoscenza di abusi."

Backdoor.Makadocs è distribuito con l'aiuto di documenti RTF (Rich Text Format) o documenti Microsoft Word (DOC), ma non sfrutta vulnerabilità per installare il suo malware componenti, ha detto Katsuki. "Cerca di stimolare l'interesse dell'utente con il titolo e il contenuto del documento e indurli a fare clic su di esso ed eseguirlo."

Come la maggior parte dei programmi backdoor, Backdoor.Makadocs può eseguire comandi ricevuti dal server C & C dell'attaccante e può rubare informazioni dai computer infetti.

Tuttavia, un aspetto particolarmente interessante della versione analizzata dai ricercatori Symantec è che contiene codice per rilevare se il sistema operativo installato sul computer di destinazione è Windows Server 2012 o Windows 8, che sono stati rilasciati da Microsoft a settembre e ottobre.

Il malware non utilizza alcuna funzione esclusiva di Windows 8, ma la presenza di questo codice suggerisce che la variante analizzata è relativamente nuova, ha detto Katsuki.

Altre stringhe dal il codice del malware e i nomi dei documenti dell'esca suggeriscono che viene utilizzato per indirizzare gli utenti brasiliani. Attualmente Symantec valuta il livello di distribuzione del malware più basso.