SEGURIDAD | Noticias | 21 NOV 2012

Utilizan Google Doc para nuevos ataques Command & Control

Tags: Actualidad
Expertos en seguridad de Symantec acaban de descubrir una pieza de malware que emplea Google Docs, ahora dentro de Google Drive, como puente de entrada de piratas informáticos que pueden ocultar tráfico malicioso.
PCWORLD PROFESIONAL

Se trata de una nueva versión de la familia Backdoor.Makadocs, y aprovecha la función “Viewer” de Google Drive como proxy para recibir instrucciones de un servidor Command & Control real. El Viewer de Google Drive fue diseñado para permitir representar una amplia variedad de tipos de archivos, desde URLs remotas directamente en Google Docs. 

“Como violación de las normas de Google, Backdoor.Makadocs utiliza esta función para acceder a su servidor C&C infectado”, asegura el investigador de Symantec, Takashi Katsuki. Es posible que  el autor de este malware empleara este método para hacer más difícil la detección por parte de productos de seguridad de red del tráfico malicioso. Desde que comenzó a utilizar conexiones encriptadas HTTPS por defecto, Google Drive no había sufrido un ataque de este tipo, asegura Katsuki.

“Utilizar cualquier producto de Google para este tipo de actividad es una violación de nuestras normas de producto”, ha asegurado un portavoz de la compañía. “Investigaremos y tomaremos acciones cuando seamos conscientes del abuso”.

Backdoor.Makadocs es distribuido con la ayuda de los formatos RTF o DOC, pero no explota cualquier vulnerabilidad para instalar sus componentes maliciosos, sino que. “intenta provocar el interés del usuario hacia el título o contenido del documento y engañarle para que pinche en él y lo ejecute”, asegura Katsuki.

Como muchos programas de “puerta trasera”, puede ejecutar comandos recibidos de servidores C&C de atacantes externos y robar información de los ordenadores infectados.

Sin embargo, un aspecto especialmente interesante de la versión analizada por Symantec es que contiene código para detectar si el sistema operativo instalado en la máquina objetivo es Windows Server 2012 o Windows 8, que fue presentado por Microsoft hace menos de un mes.

El malware no utiliza ninguna función única de Windows 8, pero la presencia de este código sugiere que la variante analizada es relativamente nueva, subrayan los expertos.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información