תוכנה זדונית משתמשת ב- Google Docs כשרת proxy לשרת פקודות ובקרה

חוקרי אבטחה של ספק האנטי-וירוס סימנטק חשפו תוכנה זדונית המשתמשת ב- Google Docs, המהווה חלק מ- Google Drive, כגשר בעת תקשורת עם התוקפים כדי להסתיר את התנועה הזדונית.

התוכנה הזדונית - גרסה חדשה ממשפחת Backdoor.Makadocs - משתמשת בתכונה 'Viewer' של Google Drive כפרוקס לקבלת הנחיות שרת שליטה ובקרה אמיתיים. Google Drive Viewer תוכנן לאפשר להציג מגוון של סוגי קבצים מכתובות אתר מרוחקות ישירות ב- Google Docs.

"בניגוד למדיניות של Google, Backdoor.Makadocs משתמשת בפונקציה זו כדי לגשת לשרת C & C [הפקודה בשליטה]", אמר סימנטק חוקר טאקאשי קאטסוקי, יום שישי בבלוג.

[לקריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

ייתכן כי המחבר תוכנות זדוניות השתמשו בגישה זו כדי להקשות על רמת הרשת כדי לזהות את התנועה הזדונית, שכן היא תופיע כחיבורים מוצפנים - Google Drive משתמש ב- HTTPS כברירת מחדל - עם שירות מהימן, אמר Katsuki.

"השימוש במוצר Google כלשהו לביצוע פעילות מסוג זה מהווה הפרה של מדיניות המוצר שלנו ", אמר נציג Google ביום שני בדוא"ל. "אנו בודקים ומבצעים פעולות כאשר אנו הופכים מודעים להתעללות".

Backdoor.Madadocs מופץ בעזרת מסמכים בפורמט Rich Text Format (RTF) או Microsoft Word (DOC), אך אינו מנצל כל פגיעות להתקנת התוכנה הזדונית רכיבים, אמר Katsuki. "הוא מנסה לעורר את העניין של המשתמש בכותרת ובתוכן של המסמך ולטעת אותם ללחוץ עליו ולבצע אותו".

כמו רוב התוכניות האחוריות, Backdoor.Madadocs יכולה לבצע פקודות שהתקבלו משרת C & C של התוקף, לגנוב מידע מהמחשבים נגועים. עם זאת, היבט אחד מעניין במיוחד של הגרסה שניתחה על ידי חוקרי סימנטק הוא שהוא מכיל קוד כדי לזהות אם מערכת ההפעלה המותקנת במחשב היעד היא Windows Server 2012 או Windows 8, אשר שוחררו על-ידי מיקרוסופט בחודש ספטמבר ואוקטובר בהתאמה.

התוכנה הזדונית אינה משתמשת בפונקציה ייחודית ל- Windows 8, אך נוכחות קוד זה מעידה על כך שהוריאנט המנותח הוא חדש יחסית, אמר Katsuki.

מחרוזות אחרות קוד של תוכנות זדוניות ואת שמות המסמכים הפיתיון עולה כי הוא משמש למקד למשתמשים הברזילאי. סימנטק מעריכה כיום את רמת ההפצה של התוכנה הזדונית