恶意软件使用Google文档作为代理来命令和控制服务器

Backdoor.Makadocs变体使用Google Drive Viewer功能从其真实的命令和控制服务器接收指令

防病毒软件供应商赛门铁克公司(Symantec)的安全研究人员发现了一种恶意软件,该恶意软件使用Google Docs(现已成为Google云端硬盘的一部分)作为与攻击者进行通信以隐藏恶意流量的桥梁。

该恶意软件(是Backdoor.Makadocs家族的新版本)使用Google云端硬盘“查看器”功能作为代理,以接收来自实际命令和控制服务器的指令。 Google Drive Viewer旨在允许直接在Google文档中显示来自远程URL的各种文件类型。

“违反Google的政策,Backdoor.Makadocs使用此功能访问其C&C(控制中的)服务器”,赛门铁克研究员Takashi Katsuki周五在一份报告中说。 博客文章.

恶意软件作者可能使用这种方法来使网络级安全产品更难检测到恶意流量,因为它会以加密连接的形式出现-默认情况下,Google云端硬盘使用HTTPS-具有普遍信任的服务,胜木说。

一位Google代表周一在电子邮件中说:“使用任何Google产品进行此类活动均违反了我们的产品政策。” “当我们意识到滥用行为时,我们会进行调查并采取行动。”

Katsuki说,Backdoor.Makadocs是在RTF格式或Microsoft Word(DOC)文档的帮助下分发的,但没有利用任何漏洞来安装其恶意组件。 “它试图通过文档的标题和内容来激起用户的兴趣,并诱使他们单击并执行它。”

像大多数后门程序一样,Backdoor.Makadocs可以执行从攻击者C那里接收到的命令&C服务器,可以从受感染的计算机中窃取信息。

但是,赛门铁克研究人员分析该版本的一个特别有趣的方面是,它包含用于检测目标计算机上安装的操作系统是Windows Server 2012还是Windows 8的代码,它们分别由Microsoft于9月和10月发布。

Katsuki说,该恶意软件没有使用Windows 8独有的任何功能,但是此代码的存在表明所分析的变体是相对较新的。

恶意软件代码中的其他字符串以及诱饵文档的名称均表明该恶意软件已被用于定位巴西用户。赛门铁克当前将恶意软件的分发级别评为低。

版权© 2012 IDG通讯,Inc.