Car-tech

Malware bruker Google Dokumenter som proxy til kommando- og kontrollserver

Insert a bookmark in Google Docs

Insert a bookmark in Google Docs
Anonim

Sikkerhetsforskere fra antivirusleverandøren Symantec har avdekket et skadelig program som bruker Google Dokumenter, som nå er en del av Google Drive, som en bro når du kommuniserer med angripere for å skjule den ondsinnede trafikken.

Malware-en ny versjon fra familien Backdoor.Makadocs-bruker Google Disk "Viewer" -funksjonen som en proxy for å motta instruksjoner fra ekte kommando- og kontrollserver. Google Drive Viewer ble designet for å tillate visning av en rekke filtyper fra eksterne nettadresser direkte i Google Dokumenter.

"I strid med Googles retningslinjer bruker Backdoor.Makadocs denne funksjonen for å få tilgang til C & C [command in control] serveren,"

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Det er mulig at malwareforfatteren brukte denne tilnærmingen for å gjøre det vanskeligere for nettverksnivået sikkerhetsprodukter for å oppdage skadelig trafikk, siden det vil vises som krypterte tilkoblinger-Google Disk bruker HTTPS som standard - med en pålitelig tjeneste, sier Katsuki.

"Bruk av et Google-produkt til å utføre denne type aktivitet er et brudd på vår produktpolicy, sa en Google-representant mandag via e-post. "Vi undersøker og gjør noe når vi blir klar over misbruk."

Backdoor.Makadocs distribueres ved hjelp av Rich Text Format (RTF) eller Microsoft Word (DOC) dokumenter, men utnytter ikke noe sårbarhet for å installere sin skadelige komponenter, sa Katsuki. "Det forsøker å pikere brukerens interesse med tittelen og innholdet i dokumentet og lure dem til å klikke på det og utføre det."

Som de fleste bakdørprogrammer, kan Backdoor.Makadocs utføre kommandoer mottatt fra angriperens C & C-server og kan stjele informasjon fra de infiserte datamaskinene.

Et spesielt interessant aspekt av versjonen som ble analysert av Symantec-forskere er imidlertid at den inneholder kode for å oppdage om operativsystemet som er installert på målmaskinen, er Windows Server 2012 eller Windows 8, som ble utgitt av Microsoft i september og oktober.

Malware bruker ikke noen funksjon som er unik for Windows 8, men tilstedeværelsen av denne koden antyder at den analyserte varianten er relativt ny, sa Katsuki.

Andre strenge fra malware-koden og navnene på agn-dokumentene antyder at den brukes til å målrette mot brasilianske brukere. Symantec vurderer for øyeblikket distribusjonsnivået for skadelig programvare så lavt.