Фото: EPA

Антивирусная компания Symantec сообщила об обнаружении нового вредоносного программного обеспечения, использующего Google Docs, ставшего частью Google Drive, в качестве посредника для коммуникаций с атакующими. Подобный подход позволяет прятать вредоносный трафик.

Как пишет CyberSecurity, новый вредоносный код входит в семейство Backdoor.Makadocs и использует функцию Viewer в Google Docs в качестве прокси-сервера для получения инструкций от реального командного сервера.

"Нарушая политику использования Google, Backdoor.Makadocs использует функцию Viewer для доступа к C&C-серверу", - говорит антивирусный специалист Symantec Такаши Кацуки.

Возможно, что автор вредоноса использовал такой подход, чтобы затруднить обнаружение вредоносного кода со стороны антивирусов, так как Google Drive по умолчанию использует защищенные HTTPS-соединения, а большинство системных анализиторов запрограммированы на распознавание сервисов Google как доверенных.

В Google также подтвердили, что подобное использование нарушает условия работы.

Backdoor.Makadocs распространяется при помощи RTF или DOC файлов, но он не использует системных уязвимостей для вторжения в компьютер-жертву, а работает по методу социальной инженерии, пытаясь обманом заставить пользователя открыть реальный вредоносный код и запустить его в системе.

Как большинство других бэкдоров, после заражения этот код включает компьютер в состав бот-сети для работы в интересах операторов.

Кацуки говорит, что у кода был найден еще один интересный аспект: он содержит элемент для обнаружения Windows Server 2012 или Windows 8, что указывает на интерес хакеров именно к новым системам.