Новый троянец использует Google Docs как прокси-сервер

Об этом сообщает "CyberSecurity".

Подобный подход позволяет прятать вредоносный трафик.

Новый вредоносный код входит в семейство Backdoor.Makadocs и использует функцию Viewer в Google Docs в качестве прокси-сервера для получения инструкций от реального командного сервера. Google Docs Viewer был изначально создан для отображения различных типов файлов с удаленных адресов прямо в рабочем окне Google Docs. "Нарушая политику использования Google, Backdoor.Makadocs использует функцию Viewer для доступа к C&C-серверу", — говорит антивирусный специалист Symantec Такаши Кацуки.

Возможно, что автор вредоноса использовал такой подход, чтобы затруднить обнаружение вредоносного кода со стороны антивирусов, так как Google Drive по умолчанию использует защищенные HTTPS-соединения, а большинство системных анализиторов запрограммированы на распознавание сервисов Google как доверенных.

В Google также подтвердили, что подобное использование нарушает условия работы.

Backdoor.Makadocs распространяется при помощи RTF или DOC файлов, но он не использует системных уязвимостей для вторжения в компьютер-жертву, он работает по методу социальной инженерии, пытаясь обманом заставить пользователя открыть реальный вредоносный код и запустить его в системе. Как большинство других бэкдоров, после заражения этот код включает компьютер в состав бот-сети для работы в интересах операторов.

Кацуки говорит, что у кода был найден еще один интересный аспект: он содержит элемент для обнаружения Windows Server 2012 или Windows 8, что указывает на интерес хакеров именно к новым системам.

Читайте Comments.ua в Google News