Malware menggunakan Google Documents sebagai proxy untuk perintah dan server kontrol

Peneliti keamanan dari vendor antivirus Symantec telah menemukan malware yang menggunakan Google Documents, yang kini menjadi bagian dari Google Drive, sebagai jembatan saat berkomunikasi dengan penyerang untuk menyembunyikan lalu lintas jahat.

Perangkat lunak perusak - versi baru dari keluarga Backdoor.Makadocs-menggunakan fitur "Penampil" Google Drive sebagai proxy untuk menerima instruksi dari perintah nyata dan server kontrol. Google Drive Viewer dirancang untuk memungkinkan menampilkan berbagai jenis file dari URL jarak jauh langsung di Google Docs.

"Melanggar kebijakan Google, Backdoor.Makadocs menggunakan fungsi ini untuk mengakses server C & C [perintah dalam kontrol]," kata peneliti Symantec, Takashi Katsuki, Jumat di sebuah posting blog.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Ada kemungkinan bahwa pembuat malware menggunakan pendekatan ini untuk membuatnya lebih sulit untuk tingkat jaringan produk keamanan untuk mendeteksi lalu lintas jahat, karena akan muncul sebagai koneksi terenkripsi-Google Drive menggunakan HTTPS secara default-dengan layanan yang dipercaya secara umum, kata Katsuki.

“Menggunakan produk Google apa pun untuk melakukan aktivitas semacam ini adalah pelanggaran terhadap kebijakan produk kami, ”perwakilan Google mengatakan Senin melalui email. “Kami menyelidiki dan mengambil tindakan ketika kami menyadari penyalahgunaan.”

Backdoor.Makadocs didistribusikan dengan bantuan dokumen Rich Text Format (RTF) atau Microsoft Word (DOC), tetapi tidak mengeksploitasi kerentanan apa pun untuk menginstal peretasannya. komponen, kata Katsuki. "Ini mencoba untuk menyinggung minat pengguna dengan judul dan konten dokumen dan mengelabui mereka agar mengklik dan mengeksekusinya."

Seperti kebanyakan program backdoor, Backdoor.Makadocs dapat mengeksekusi perintah yang diterima dari server C & C penyerang dan dapat mencuri informasi dari komputer yang terinfeksi.

Namun, satu aspek yang sangat menarik dari versi yang dianalisis oleh para peneliti Symantec adalah bahwa ia mengandung kode untuk mendeteksi jika sistem operasi yang dipasang pada mesin target adalah Windows Server 2012 atau Windows 8, yang dirilis oleh Microsoft pada bulan September dan Oktober.

Malware tidak menggunakan fungsi apa pun yang unik untuk Windows 8, tetapi keberadaan kode ini menunjukkan bahwa varian yang dianalisis relatif baru, kata Katsuki.

String lain dari kode malware dan nama-nama dokumen umpan menunjukkan bahwa itu digunakan untuk menargetkan pengguna Brasil. Symantec saat ini menilai tingkat distribusi malware paling rendah.