شماره: IRCNE2012111681
تاريخ:30/08/91
محققان امنيتي از شركت آنتي ويروس سايمانتك، قطعه بدافزاري را كشف كرده اند. هنگامي كه اين بدافزار با مهاجمان ارتباط برقرار مي كند به منظور پنهان كردن ترافيك مخرب، ازGoogle Docs به عنوان يك پل استفاده مي كند. در حال حاضرGoogle Docs بخشي از Google Drive مي باشد.
اين بدافزار، يك نسخه جديدي از خانواده Backdoor.Makadocs است كه از ويژگي "Viewer" در Google Drive به عنوان يك واسط استفاده مي كند تا دستورالعمل ها را از سرور فرمان و كنترل دريافت نمايد. Google Drive Viewer به گونه اي طراحي شده است كه اجازه مي دهد انواع مختلفي فايل از URL هاي راه دور در Google Docs نمايش داده شوند.
Takashi Katsuki، يك محقق از شركت سايمانتك گفت: با نقض سياست هاي گوگل، Backdoor.Makadocs از اين تابع استفاده مي كند تا به سرور فرمان و كنترل دسترسي يابد. اين امكان وجود دارد كه نويسنده بدافزار از اين رويه استفاده كرده است تا تشخيص ترافيك خرابكار را براي محصولات امنيتي سطح شبكه سخت تر كند. زيرا ارتباطات آن به صورت رمزگذاري شده است زيرا Google Drive به طور پيش فرض از HTTPS استفاده مي كند.
Katsuki گفت: بدافزار Backdoor.Makadocs به كمك اسناد RFT يا DOC توزيع مي شود اما از هيچ آسيب پذيري براي نصب مولفه هاي مخرب سوء استفاده نمي كند. اين بدافزار سعي مي كند تا با عناوين و محتوي جذاب كاربر را ترغيب نمايد تا بر روي اسناد ورد كليك نمايد تا بتواند خود را اجرا كند.
مانند بسياري از برنامه هاي راه نفوذ مخفي، Backdoor.Makadocs مي تواند دستورات دريافت شده از سرور C&C مهاجم را اجرا نمايد و اطلاعات سيستم آلوده شده را به سرقت ببرد.
يكي از جنبه هاي قابل توجه اين بدافزار آن است كه حاوي كدي مي باشد كه مي تواند سيستم عامل نصب شده بر روي ماشين هدف را شناسايي نمايد كه آيا ويندوز سرور 2012 است يا ويندوز 8. در حال حاضر سيمانتك توزيع اين بدافزار را در سطح پايين رده بندي كرده است.
- 2