Исследователи Symantec обнаружили новую троянскую
программу Backdoor.Makadocs,
которая поражает в том числе компьютеры под управлением Windows 8 и Windows
Server 2012. Дроппер распространяется в документах RTF и DOC, а интересной его
особенностью является использование хостинга Google Docs как прокси в
коммуникациях с командным C&C-сервером.
Такой своеобразный прокси позволяет обойти встроенный
файрвол Windows 8, который легко блокирует прямые коммуникации с C&C. В то же
время зловред не эксплуатирует никаких оригинальных функций Windows 8 и
известно, что он распространялся в Сети ещё до выхода новой ОС.
В Google Docs Viewer есть функция загрузки контента в
разных форматах со стороннего ресурса по URL. Backdoor.Makadocs нарушает
правила Google и использует эту функцию для запроса вредоносного контента со
своего C&C-сервера. Зловреду даже не требуется авторизоваться через
какой-то Google Account, поскольку Google Docs Viewer обслуживает все запросы
подряд, как обычный открытый прокси. Соединение от зараженного компьютера к
Google Docs устанавливается по защищенному протоколу HTTPS, так что эти команды
трудно блокировать на локальном компьютере.
Комментариев нет:
Отправить комментарий