I ricercatori di Symantec hanno segnalato la scoperta di un malware che si appoggia a Google Docs (da qualche mese parte del nuovo servizio Google Drive) per cercare di nascondere lo scambio di dati tra sistema infetto e server C&C (command and control).
Si chiama server command-and-control (C&C) il sistema usato dagli autori del malware per trasmettere indicazioni sulle operazioni da effettuare (compresa la sottrazione di informazioni personali o dati sensibili) al componente nocivo insediatosi sulle macchine infette.
Il malware in questione, variante della già conosciuta famiglia Backdoor.Makadocs, sfrutta Google Drive Viewer (o “Visualizzatore Google Drive”, in italiano) come “proxy” per la ricezione delle informazioni dal server C&C. Il componente nocivo insediatosi sui personal computer infetti si connette a Google Drive ed utilizzando lo speciale “visualizzatore” (permette il caricamento di contenuti “fisicamente” ospitati su server remoti; vedere la pagina di supporto di Google per maggiori informazioni) richiede il download di codice nocivo ed istruzioni addizionali dal server C&C.
“In violazione dei regolamenti di Google, Backdoor.Makadocs utilizza questa funzionalità (il “Visualizzatore Google Drive”, n.d.r) per accedere al suo server C&C“, ha confermato Takashi Katsuki, uno dei ricercatori di Symantec.
Questo tipo di approccio è stato evidentemente adoperato per rendere più difficoltoso il rilevamento delle attività dannose a livello di rete locale. Google Drive, infatti, utilizza una connessione cifrata (HTTPS) per l’invio e la ricezione dei dati quindi appare nettamente più arduo scoprire operazioni riconducibili all’azione del malware.
Google, attraverso un suo portavoce, ha fatto sapere di essersi immediatamente attivata per bloccare gli attacchi.
Il malware messo a nudo da Symantec è piuttosto recente: è curioso osservare, infatti, come contenga del codice capace di rilevare il sistema operativo in uso ed integri una routine per il riconoscimento di Windows Server 2012 e Windows 8.