Malware sử dụng Google Docs như là một proxy để kiểm soát và khống chế máy chủ

Ngày 03/01/2013 đăng bởi seo3.vdo@gmail.com

Theo IDG News Service – Các nghiên cứu bảo mật từ nhà sản xuất phần mềm diệt virus Symantec đã khám phá ra một phần của Malware đang sử dụng Google Docs, mà giờ đây là một phần của Google Drive, như một cầu nối để các tin tặc tấn công vào máy của người dùng.

Phiên bản mới của Malware này phát triển từ dòng Backdoor.Makadocs, sử dụng tính năng Google Drive Viewer như là một proxy để nhận những hướng dẫn từ dòng lệnh thời gian thực và kiểm soát máy chủ. Google Drive Viewer được thiết kế cho phép hiển thị đa dạng các kiểu file khác nhau từ các địa chỉ từ xa ngay trong Google Docs.

“Trong chính sách vi phạm của Google, Backdoor.Makadocs sử dụng chức năng này để truy cập máy chủ C&C (quản lý dòng lệnh)”, nhà nghiên cứu Takashi Katsuki của Symantec nói vào hôm thứ sáu vừa qua trên blog cá nhân.

Có thể tác giả của Malware sử dụng cách tiếp cận này để gây khó khăn cho các sản phẩm bảo mật tìm kiếm mạng lưới dòng dữ liệu độc hại, trong khi nó xuất hiện như các kết nối được mã hóa. Mặc định Google Drive sử dụng HTTPs  và được xem là các giao tiếp có uy tín, thường được các phần mềm bảo mật đánh giá tốt, Katsuki nói.

“Sử dụng bất kỳ các sản phẩm của Google để tiến hành các hoạt động là vi phạm các chính sách sản phẩm của chúng tôi”, đại diện của Google đã phản hồi qua mail vào thứ hai. “Chúng tôi sẽ điều tra và sẽ hành động khi chúng tôi nhận thấy bị lợi dụng”.

Backdoor.Makadocs được phân tán với sự trợ giúp của các kiểu tài liệu như Rich Text Format (RTF) hoặc Microsoft Word (DOC), nhưng nó không khai thác bất kỳ lỗ hổng nào để nó cài đặt các thành phần độc hại, Katsuki nói: “Nó cố gắng khêu gợi sự tò mò của người dùng bằng các tiêu đề và nội dung của tài liệu, và lừa họ click vào nó và nó sẽ tiến hành một số thao tác khác”. Giống như phần lớn các chương trình Backdoor khác, Backdoor.Makadocs có thể nhận các lệnh thực thi từ máy chủ C&C của tin tặc và có thể ăn trộm thông tin từ các máy bị nhiễm.

Malware không sử dụng bất kỳ tính năng liên quan tới Windows, nhưng sự có mặt của mã này gợi ý rằng biến thể phân tích là tương đối mới, Katsuki nói. Nó phát triển theo một hướng khác với mục tiêu người dùng khác cụ thể và khả năng phát tán tương đối thấp, ít nhất cũng là theo đánh giá từ Symantec.

Hotline tư vấn miễn phí