Черновики Gmail используются для хищения персональных данных


GmailВ поле зрения появляется все больше и больше новых компаний по вопросам безопасности. Из них некоторые "погибают", у некоторых - получается держаться "на плаву", а некоторые вырастают до крупных корпораций со знаменитым именем. Так, например, одна начинающая компания по безопасности Shape Security.

На днях специалисты данной компании обнаружили на компьютере одного из своих клиентов новый образец вредоносного ПО, который использовал необычную форму коммуникаций с командным сервером. Программа произвела авторизацию в почтовом сервисе Gmail и получала команды из не отправленного черновика. Это позволило злоумышленникам отправлять программные обновления и инструкции, а также извлекать похищенную информацию.

Как отмечают эксперты, процесс проходил по следующему сценарию: злоумышленниками была создана анонимная учетная запись в Gmail, после чего произошло инфицирование компьютера жертвы вредоносной программой. Получив контроль над ПК, преступник открывал подложный аккаунт на машине пользователя. Соединение происходило из браузера Internet Explorer, который был запущен в невидимой сессии. Напомним, что IE позволяет другим программам запускать себя в таком режиме, чтобы можно было получать информацию из интернета. По этой причине многие пользователи даже не подозревают, что на его компьютере открыта какая-либо web-страница.

Затем посредством запуска скрипта, написанного на языке программирования Питон, программа извлекала инструкции и код, внедренные преступником на полях черновика. После этого вредонос там же оставлял свое подтверждение вместе с похищенной с компьютера жертвы информацией. При этом все коммуникации проводились в зашифрованном виде.

Один из исследователей компании утверждает, что данная вредоносная программа является разновидностью трояна Icoscript, который позволяет получить удаленный доступ к инфицированному компьютеру. Напомним, что данная вредоносная программа была обнаружена в августе этого года специалистами компании G-Data.

Специалисты считают, что из-за скрытого характера коммуникаций на данный момент сложно сказать, сколько машин инфицировано этой разновидностью RAT. По их мнению, пока не существует простого способа обнаружения факта похищения данных без блокировки ученой записи Gmail.

Эксперты из Google пока никак не прокомментировали данное обнаружение.


Обновлено (31.10.2014 00:41)