Google Docs trở thành đối tượng của phần mềm độc hại

Một phần mềm độc hại vừa được phát hiện là lợi dụng Google Docs, bây giờ là một phần của Google Drive, như là một cổng giao tiếp với kẻ tấn công để che giấu lưu lượng truy cập độc hại.

Phần mềm độc hại mới được phát hiện có xuất phát từ gia đình Backdoor.Makadocs (một chương trình cửa hậu) sử dụng tính năng Viewer của Google Drvie như là một proxy để nhận các dòng lệnh và điều khiển máy chủ. Google Drive Viewer được thiết kế để hiển thị một loạt các tập tin trực tiếp thông qua URL trong Google Docs.

Google Drive là một cổng giao tiếp với kẻ tấn công để che giấu lưu lượng truy cập độc hại

Takashi Katsuki, một nhà nghiên cứu bảo mật cho biết: “Backdoor.Makadocs sử dụng chức năng View của Google Docs để truy cập vào dòng lệnh C&C (Command in control) của các máy chủ kiểm soát”.

“Với cách thức này, tác giả của phần mềm độc hại có thể làm các sản phẩm bảo mật khó khăn hơn trong việc phát hiện ra lưu lượng truy cập độc hại bởi Google Drive có chức năng kết nối mã hóa sử dụng giao thức HTTPS theo mặc định với một dịch vụ nói chung là tin cậy”, ông Katsuki nói thêm.

Theo một đại diện của Google cho biết qua email: “Sử dụng bất kỳ sản phẩm nào của Google để tiến hành các hoạt động tấn công người dùng là một hành vi vi phạm chính sách sản phẩm của công ty. Chúng tôi đang điều tra và sẽ có hành động khi phát hiện ra dịch vụ của mình đang bị lợi dụng”.

Backdoor.Makadocs được truyền tải thông qua các tập tin Rich Text Format (RTF) hay các tài liệu MS Word (DOC) nhưng không có chức năng khai thác bất kỳ lỗ hổng nào để cài đặt các thành phần độc hại của nó. Ông Katsuki cho biết: “Phần mềm độc hại này cố gắng tấn công thông qua các nội dung khêu gợi người dùng quan tâm tải về dựa vào các tiêu đề và nội dung của tài liệu, từ đó lừa người dùng nhấp vào một liên kết nào đó để thực hiện tấn công”.

Giống như hầu hết các chương trình cửa hậu nào khác, Backdoor.Makadocs có thể thực hiện các lệnh nhận được từ máy chủ C&C của kẻ tấn công và có thể ăn cắp thông tin từ các máy tính bị nhiễm bệnh.

Tuy nhiên, một khía cạnh đặc biệt thú vị trong kết quả phân tích của các nhà nghiên cứu bảo mật thì nó có chứa mã lệnh để có thể phân tích phát hiện các máy tính mục tiêu chạy Windows Server 2012 hoặc Windows 8, nền tảng hệ điều hành mới chỉ được Microsoft tung ra trong tháng 9 và tháng 10 vừa qua. Điều này cho thấy sự hiện diện của mã độc mới đã có thể phân tích, một hoạt động tương đối mới.

Cũng theo phát hiện mới này thì chuỗi mã của Backdoor.Makadocs cho thấy tên của các tài liệu làm mồi được sử dụng để nhắm mục tiêu người dùng Brazil. Chính vì vậy, mức độ phân phối phần mềm độc hại này được đánh giá là ở cấp độ thấp.

Theo Người Lao Động