O malware, uma nova versão da família Backdoor.Makadocs, utiliza o recurso de visualização do Google Drive (conhecido como Viewer) como proxy para receber instruções do servidor real de comando e controle. O Viewer foi projetado para permitir a exibição de uma variedade de tipos de arquivos de URLs remotas diretamente no Google Docs.
"Em violação às políticas do Google, o Backdoor.Makadocs usa essa função para acessar o seu servidor de comando e controle", disse o pesquisador da Symantec, Takashi Katsuki, na sexta-feira em um post no blog.
É possível que o autor do malware utilize essa abordagem a fim de dificultar a detecção de tráfego malicioso por produtos de segurança em nível de rede, uma vez que ele aparecerá como uma conexão criptografada - o Google Drive utiliza HTTPS como padrão - geralmente um serviço confiável, disse Katsuki.
"O uso de qualquer produto do Google para realizar este tipo de atividade é uma violação das nossas políticas de uso", disse um representante do Google na segunda-feira por e-mail. "Nós investigamos e tomamos as medidas necessárias quando ficamos cientes do abuso."
O Backdoor.Makadocs é distribuído com a ajuda de documentos em formato Rich Text Format (RTF) ou Microsoft Word (DOC), mas não explorar qualquer vulnerabilidade para instalar componentes maliciosos, disse Katsuki. "É uma tentativa de despertar interesse do usuário com o título e o conteúdo do documento e enganá-los a clicar sobre o malware e executá-lo."
Como a maioria dos programas backdoor, o Backdoor.Makadocs pode executar comandos recebidos do servidor C&C do atacante e pode roubar informações dos computadores infectados.
No entanto, um aspecto particularmente interessante da versão analisada por pesquisadores da Symantec é que o malware contém um código para detectar se o sistema operacional instalado na máquina de destino é o Windows Server 2012 ou Windows 8 - lançados pela Microsoft em setembro e outubro, respectivamente.
O malware não usa qualquer função exclusiva do Windows 8, mas a presença desse código sugere que a variante analisada é relativamente nova, disse Katsuki.
Outras sequências de códigos do malware e os nomes dos documentos-isca sugerem que ele está sendo usado para atacar usuários brasileiros. A Symantec atualmente classifica o nível de distribuição do malware baixo.
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário