Troyano utiliza Google Docs para comunicarse con su C&C

Los investigadores de Symantec han descubierto una pieza de malware que se aprovecha de Google Docs para comunicarse con su servidor de comando y control (C&C).

El malware es una versión del troyano Makadocs, que abre una puerta trasera en el ordenador infectado y trata de robar información. En su última versión, este malware utiliza Google Docs como un servidor proxy para conectarse a su C&C.

"Google Docs tiene una función llamada viewer que obtiene los elementos de otra URL y los muestra", escribió en su blog Takashi Katsuki de Symantec. "Básicamente, esta funcionalidad permite al usuario ver una variedad de tipos de archivos en el navegador. Violando las políticas de Google, Backdoor.Makadocs utiliza esta función para acceder a su servidor de C&C".

"Es posible que el autor del malware haya implementado esta funcionalidad en un intento de evitar ser descubierto mediante una conexión directa con el C&C", continuó el investigador. "La conexión con el servidor de Google Docs se cifra usando HTTPS, lo que hace difícil que sea bloqueada localmente. Google podría evitar esta conexión mediante el uso de un firewall."

Recordemos que no es la primera vez que utilizan métodos no tradicionales de comunicación con servidores C&C. Otros artefactos de malware han utilizado Twitter y Facebook para recibir instrucciones...

De acuerdo con Symantec, Makadocs ataca a los usuarios como un documento con formato de texto enriquecido (RTF) de Microsoft Word. El archivo malicioso no utiliza ninguna vulnerabilidad para instalarse, sino que se basa en la ingeniería social, domentó Katsuki. También explicó que por los intentos de convencer al usuario a ejecutarlo con el título y el contenido del documento, y que las pistas en el código le llevan a creer que el malware está principalmente dirigido a los que viven en Brasil.

El malware incluye código para detectar el sistema operativo utilizado por la víctima, incluyendo Windows 8 y Windows Server 2012.

"Esto no es necesariamente una sorpresa para los investigadores de seguridad, ya que siempre encuentra nuevo malware cuando los productos nuevos son liberados", escribió Katsuki. "Sin embargo, este malware no utiliza ninguna función especial exclusiva de Windows 8, y sabemos que este malware ha existido antes del lanzamiento de Windows 8. Sobre la base de estos hechos, creemos que este código debe ser una actualización del malware".


Fuentes:
Malware Targeting Windows 8 Uses Google Docs
Trojan Turns to Google Docs to Communicate With Command and Control 

Comentarios