Антивирусная компания Symantec сообщает об обнаружении нового вредоносного программного обеспечения, использующего Google Docs, ставшего частью Google Drive, в качестве посредника для коммуникаций с атакующими. Подобный подход позволяет прятать вредоносный трафик.
Новый вредоносный код входит в семейство Backdoor.Makadocs и использует функцию Viewer в Google Docs в качестве прокси-сервера для получения инструкций от реального командного сервера. Google Docs Viewer был изначально создан для отображения различных типов файлов с удаленных адресов прямо в рабочем окне Google Docs. «Нарушая политику использования Google, Backdoor.Makadocs использует функцию Viewer для доступа к C&C-серверу», — говорит антивирусный специалист Symantec Такаши Кацуки.
Возможно, что автор вредоноса использовал такой подход, чтобы затруднить обнаружение вредоносного кода со стороны антивирусов, так как Google Drive по умолчанию использует защищенные HTTPS-соединения, а большинство системных анализиторов запрограммированы на распознавание сервисов Google как доверенных.
В Google также подтвердили, что подобное использование нарушает условия работы.
Backdoor.Makadocs распространяется при помощи RTF или DOC файлов, но он не использует системных уязвимостей для вторжения в компьютер-жертву, он работает по методу социальной инженерии, пытаясь обманом заставить пользователя открыть реальный вредоносный код и запустить его в системе. Как большинство других бэкдоров, после заражения этот код включает компьютер в состав бот-сети для работы в интересах операторов.
Кацуки говорит, что у кода был найден еще один интересный аспект: он содержит элемент для обнаружения Windows Server 2012 или Windows 8, что указывает на интерес хакеров именно к новым системам.
Источник: cybersecurity.ru
