Новый троянец использует Google Docs как прокси-сервер

Антивирусная компания Symantec сообщает об обнаружении нового вредоносного программного обеспечения, использующего Google Docs, ставшего частью Google Drive, в качестве посредника для коммуникаций с атакующими

Об этом сообщает «CyberSecurity».

Подобный подход позволяет прятать вредоносный трафик.

Новый вредоносный код входит в семейство Backdoor.Makadocs и использует функцию Viewer в Google Docs в качестве прокси-сервера для получения инструкций от реального командного сервера. Google Docs Viewer был изначально создан для отображения различных типов файлов с удаленных адресов прямо в рабочем окне Google Docs. «Нарушая политику использования Google, Backdoor.Makadocs использует функцию Viewer для доступа к C_ampersent_C-серверу», — говорит антивирусный специалист Symantec Такаши Кацуки.

Возможно, что автор вредоноса использовал такой подход, чтобы затруднить обнаружение вредоносного кода со стороны антивирусов, так как Google Drive по умолчанию использует защищенные HTTPS-соединения, а большинство системных анализиторов запрограммированы на распознавание сервисов Google как доверенных.

В Google также подтвердили, что подобное использование нарушает условия работы.

Backdoor.Makadocs распространяется при помощи RTF или DOC файлов, но он не использует системных уязвимостей для вторжения в компьютер-жертву, он работает по методу социальной инженерии, пытаясь обманом заставить пользователя открыть реальный вредоносный код и запустить его в системе. Как большинство других бэкдоров, после заражения этот код включает компьютер в состав бот-сети для работы в интересах операторов.

Кацуки говорит, что у кода был найден еще один интересный аспект: он содержит элемент для обнаружения Windows Server 2012 или Windows 8, что указывает на интерес хакеров именно к новым системам.


Источник: “http://t-pravda.net/society/technologies/146180-novyj-troyanecz-ispolzuet-google-docs-kak-proksi-server.html?lang=ru”

ТОП новости

Вход

Меню пользователя