Νέα παραλαγή malware για Windows 8 χρησιμοποιεί το Google Docs για την επικοινωνία με το κέντρο ελέγχου του

[Seitman]

Τα Windows 8 μπορεί να αποκλείουν τα περισσότερα malware χωρίς κάποιο εξειδικευμένο λογισμικό πλην των εργαλείων που περιέχονται, αλλά εξακολουθεί να υπάρχει κακόβουλο λογισμικό που "περνάει" από τα εργαλεία της Microsoft. Ανιχνεύτηκε μια νέα παραλλαγή ενός Trojan, του Trojan.Dropper, και εξαπλώνεται μέσω αρχείων RTF και Microsoft Word με την ονομασία Backdoor.Makadocs, το οποίο όχι μόνο στοχεύει τα λειτουργικά Windows 8 και Windows Server 2012 αλλά επίσης χρησιμοποιεί το Google Docs ως proxy server για να επικοινωνεί με το κέντρο ελέγχου του.

Η Symantec πιστεύει ότι το κακόβουλο λογισμικό έχει ενημερωθεί κατάλληλα από τον δημιουργό του και περιλαμβάνει στοιχεία για τα Windows 8 και Windows Server 2012, αλλά δεν εκτελεί κάποια συγκεκριμένη ενέργεια (ακόμα). Αυτό το δεν αποτελεί κάποια έκπληξη, καθώς και τα δύο αυτά λειτουργικά συστήματα κυκλοφόρησαν μόλις πριν από ένα μήνα, είναι ιδιαίτερα δημοφιλή και οι κυβερνο-εγκληματίες δρουν αρκετά γρήγορα.

Ωστόσο, το πιο ενδιαφέρον μέρος είναι η προσθήκη του Google Docs στην εξίσωση. Το Backdoor.Makadocs συγκεντρώνει πληροφορίες από τον μολυσμένο υπολογιστή (όπως το όνομα του υπολογιστή και τον τύπο του λειτουργικού συστήματος) και στη συνέχεια λαμβάνει και εκτελεί εντολές από τον διακομιστή ελέγχου του για την πρόκληση επιπλέον ζημιών.

Για να γίνει αυτό, οι συγγραφείς του κακόβουλου λογισμικού αποφάσισαν να "εκμεταλλευτούν" το Google Docs έτσι ώστε να εξασφαλιστεί η απρόσκοπτη διακίνηση δεδομένων. Καθώς η υπηρεσία Google Docs γίνεται ολοένα και πιο δημοφιλής και οι επιχειρήσεις επιτρέπουν την επικοινωνία με αυτή μέσω των firewalls που διαθέτουν, οφείλουμε να ομολογήσουμε ότι η μέθοδος αυτή είναι μια πάρα πολύ έξυπνη κίνηση.

O λόγος που όλη αυτή η διαδικασία είναι λειτουργική είναι ότι το Google Docs περιλαμβάνει μια λειτουργία "viewer" η οποία ανακτά πληροφορίες από μια άλλη διεύθυνση URL και την εμφανίζει, επιτρέποντας έτσι στον χρήστη να έχει πρόσβαση σε μια ευρεία γκάμα τύπων αρχείων μέσα από το πρόγραμμα περιήγησης. Παραβιάζοντας λοιπόν τους όρους χρήσης της Google, το Backdoor.Makadocs χρησιμοποιεί τη λειτουργία αυτή για να αποκτήσει πρόσβαση στους διακομιστές ελέγχου του και κρυπτογραφεί τη σύνδεση αυτή με HTTPS με την ελπίδα ότι δε θα ανακαλυφθεί από το Google Docs.

"H Google είναι σε θέση να αποτρέπει τέτοιου είδους συνδέσεις με τη χρήση ενός firewall", αναφέρει η Symantec. Δεδομένου ότι το έγγραφο δεν περιέχει τρωτές λειτουργίες (στηρίζεται σε τακτικές social engineering) είναι μάλλον απίθανο να μπορεί να κάνει κάτι η Google πέρα από τη συμμετοχή σε ένα παιχνίδι γάτας - ποντικού με τους συγγραφείς του κακόβουλο λογισμικού.

Εκπρόσωπος τύπου της Google δήλωσε: "Κάνοντας χρήση οποιουδήποτε προϊόντος της Google για κακόβουλους σκοπούς είναι παράβαση των όρων χρήσης των προϊόντων μας. Θα ερευνήσουμε το θέμα και θα λάβουμε τα κατάλληλα μέτρα όταν λάβουμε γνώση μιας τέτοιου είδους κατάχρησης".


Πηγή: TheNextWeb

[Helix]

Μια χαρά. Μετά τις εικόνες jpg προστέθηκαν στα επίφοβα αρχεία και τα έγγραφα rtf και doc(x). Καλά πάτε

[Asgard]

Τα doc είναι επίφοβα τουλάχιστον από τα τέλη της δεκαετίας του '90, λόγω της μεγάλης εξυπνάδας της MS να επιτρέψει να μπεί embeddable εκτελέσιμος κώδικας σε αρχείο κειμένου. Και τότε ήταν και κλειστό πρότυπο, δηλαδή δεν ήταν και πολύ εύκολο να βρεθούν τα διάφορα vulnerability.

[tsigarid]

Πολύ έξυπνη κίνηση με τα google docs. Ποιός θα τα αποκλείσει ως "κακόβουλα"; Κανένας (που ήδη τα χρησιμιποιεί)...

[Φιλόσοφος_Στ@ρχίδας]

Πολύ έξυπνη κίνηση με τα google docs. Ποιός θα τα αποκλείσει ως "κακόβουλα"; Κανένας (που ήδη τα χρησιμιποιεί)...

Δεν ξεκαθαρίζει βέβαια η ανακοίνωση αν το C&C traffic ξεπερνάει το firewall γιατί συνήθως είναι whitelisted το Google Docs ή γιατί είναι encrypted το traffic οπότε δεν το πιάνει το deep packet inspection...Μάλλον το 2ο θα είναι.