Malware usa Google Docs como meio de comunicação com crackers

Variante do Backdoor.Makadocs usa recurso de visualização do Google Drive para receber instruções do server de comando e controle. Pesquisadores de segurança acharam um malware que utiliza o Google Docs, que agora é parte do Google Drive, como uma ponte para se comunicar com crackers a fim de esconder o tráfego malicioso.

O malware, uma nova versão da família Backdoor.Makadocs, utiliza o recurso de visualização do Google Drive (conhecido como Viewer) como proxy para receber instruções do servidor real de comando e controle. O Viewer foi projetado para permitir a exibição de uma variedade de tipos de arquivos de URLs remotas diretamente no Google Docs.

"Em violação às políticas do Google, o Backdoor.Makadocs usa essa função para acessar o seu servidor de comando e controle", disse o pesquisadores. É  possível que o autor do malware utilize essa abordagem a fim de dificultar a detecção de tráfego malicioso por produtos de segurança em nível de rede, uma vez que ele aparecerá como uma conexão criptografada - o Google Drive utiliza HTTPS como padrão - geralmente um serviço confiável, disse pesquisador.

"O uso de qualquer produto do Google para realizar este tipo de atividade é uma violação das nossas políticas de uso", disse um representante do Google na segunda-feira por e-mail. "Nós investigamos e tomamos as medidas necessárias quando ficamos cientes do abuso."

O Backdoor.Makadocs é distribuído com a ajuda de documentos em formato Rich Text Format (RTF) ou Microsoft Word (DOC), mas não explorar qualquer vulnerabilidade para instalar componentes maliciosos, disse pesquisador. "É uma tentativa de despertar interesse do usuário com o título e o conteúdo do documento e enganá-los a clicar sobre o malware e executá-lo."

Como a maioria dos programas backdoor, o Backdoor.Makadocs pode executar comandos recebidos do servidor C&C do atacante e pode roubar informações dos computadores infectados.

No entanto, um aspecto particularmente interessante da versão analisada por pesquisadores é que o malware contém um código para detectar se o sistema operacional instalado na máquina de destino é o Windows Server 2012 ou Windows 8 - lançados pela Microsoft em setembro e outubro, respectivamente.

O malware não usa qualquer função exclusiva do Windows 8, mas a presença desse código sugere que a variante analisada é relativamente nova, disse pesquisador.

Outras sequências de códigos do malware e os nomes dos documentos-isca sugerem que ele está sendo usado para atacar usuários brasileiros. Pesquisadores, atualmente classifica o nível de distribuição do malware baixo.

Fonte: http://idgnow.uol.com.br/internet/2012/11/19/malware-usa-google-docs-como-meio-de-comunicacao-com-crackers/