محققان
امنیتی از شركت آنتی ویروس سایمانتك، قطعه بدافزاری را كشف كرده اند.
هنگامی كه این بدافزار با مهاجمان ارتباط برقرار می كند به منظور پنهان
كردن ترافیك مخرب، ازGoogle Docs به عنوان یك پل استفاده می كند. در حال حاضرGoogle Docs بخشی از Google Drive می باشد.
این بدافزار، یك نسخه جدیدی از خانواده Backdoor.Makadocs است كه از ویژگی "Viewer" در Google Drive به عنوان یك واسط استفاده می كند تا دستورالعمل ها را از سرور فرمان و كنترل دریافت نماید. Google Drive Viewer به گونه ای طراحی شده است كه اجازه می دهد انواع مختلفی فایل از URL های راه دور در Google Docs نمایش داده شوند.
Takashi Katsuki، یك محقق از شركت سایمانتك گفت: با نقض سیاست های گوگل، Backdoor.Makadocs
از این تابع استفاده می كند تا به سرور فرمان و كنترل دسترسی یابد. این
امكان وجود دارد كه نویسنده بدافزار از این رویه استفاده كرده است تا تشخیص
ترافیك خرابكار را برای محصولات امنیتی سطح شبكه سخت تر كند. زیرا
ارتباطات آن به صورت رمزگذاری شده است زیرا Google Drive به طور پیش فرض از HTTPS استفاده می كند.
Katsuki گفت: بدافزار Backdoor.Makadocs به كمك اسناد RFT یا DOC
توزیع می شود اما از هیچ آسیب پذیری برای نصب مولفه های مخرب سوء استفاده
نمی كند. این بدافزار سعی می كند تا با عناوین و محتوی جذاب كاربر را ترغیب
نماید تا بر روی اسناد ورد كلیك نماید تا بتواند خود را اجرا كند.
مانند بسیاری از برنامه های راه نفوذ مخفی، Backdoor.Makadocs می تواند دستورات دریافت شده از سرور C&C مهاجم را اجرا نماید و اطلاعات سیستم آلوده شده را به سرقت ببرد.
یكی
از جنبه های قابل توجه این بدافزار آن است كه حاوی كدی می باشد كه می
تواند سیستم عامل نصب شده بر روی ماشین هدف را شناسایی نماید كه آیا ویندوز
سرور 2012 است یا ویندوز 8. در حال حاضر سیمانتك توزیع این بدافزار را در
سطح پایین رده بندی كرده است.
موسسه نرم افزاری ترسیم رایانه شرق