Un nuovo Trojan usa Google Docs come proxy server

Un nuovo Trojan usa Google Docs come proxy server

Symantec ha individuato Backdoor.Makadocs, un nuovo trojan in grado di funzionare anche con Windows 8 e Windows Server 2012. Come caratteristica particolare usa Google Docs quale Proxy per il collegamento a C&C

di Fabio Boneschi pubblicata il , alle 11:59 nel canale Sicurezza
GoogleWindowsSymantecMicrosoft
 

Nel fine settimana Symantec ha diffuso alcune informazioni relative al malware Macadoc. Come primo interessante dettaglio in merito a questo codice malevolo si osserva una nuova variate, capace di funzionare anche con Windows 8 e Windows Server 2012: come prevedibile, il recente lancio dei nuovi sistemi operativi Microsoft ha anche generato un interesse da parte di chi gestisce il cyber-crime.

Al momento secondo alcune fonti non è ancora chiara la pay-load attivata dal malware su Windows 8 o Windows Server 2012. Ma l'attenzione si rivolge a un interessante dettaglio di Backdoor.Makadocs: come molti altri malware simili, per il componente è necessario un contatto diretto con una struttura command-and-control e il mantenimento di questo collegamento è una priorità. Nel caso specifico la connessione avviene sfruttando Google Docs come layer aggiuntivo - una sorta di proxy - e di difficile controllo lato client locale.

Backdoor.Makadocs in completa violazione con le policy di Gogle Docs utilizza la possibilità di Google Docs di offrire la visualizzazione di documenti all'interno del browser web. Inoltre, la connessione con Google Docs avviene su HTTPS come per molti dei servizi gestiti da Google.

Takashi Katsuki nel blog di Symantec afferma anche che al momento non è ben chiara la pericolosità di Macadoc, ma sottolinea come da parte di Google l'individuazione di attività simili sia piuttosto semplice e per giocare d'anticipo rispetto a possibili nuove varianti più pericolose sarebbe il caso di intervenire quanto prima. Google, pur sottolineando che questo genere di azioni avviene in violazione alle proprie policy, ha confermato alcune proprie indagini al fine di intervenire in caso di abusi.

Backdoor.Makadocs viene diffuso attraverso un file .RTF il cui nome viene modificato con logiche tali da indurre l'utente a procedere all'apertura del documento.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Tasslehoff20 Novembre 2012, 12:07 #1
E' da una via che Google Docs viene usato per fare le peggio porcate online e questi se ne accorgono solo ora...
Perchè non si parla di come Google Docs viene usato per inviare spam, e di come questo faccia finire gli smtp di Google Apps (condivisi con docs) nelle più banali e conservative blacklist antispam del pianeta un giorno sì e l'altro pure?
Qualcuno forse ha paura di intaccare il mito dei servizi cloud tanto di moda?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^