Сервисы Google используются в качестве C&C-серверов для трояна Carbanak


Forcepoint Security LabsЭкспертами компании Forcepoint Security Labs установлено, что новые модификации вредоносного ПО Carbanak используют ряд сервисов Google (Google Apps Script, Google Sheets и Google Forms) для хостинга своей C&C-инфраструктуры.

В рамках вредоносной кампании злоумышленники рассылают спам-сообщения с прикрепленным вредоносным RTF-документом, содержащим OLE объект с файлом VBScript. При открытии пользователем такого документа предлагается разблокировать контент двойным щелчком мыши. После осуществления данного действия на экране отображается диалоговое окно для запуска unprotected.vbe. В действительности, на компьютер будет загружен банковский троян Carbanak.

Напомним, предыдущие версии Carbanak связывались с C&C-сервером для получения дальнейших указаний и отправляли похищенную информацию на другой web- или FTP-сервер. Новая модификация действует иначе.

Оказавшись на системе, вредонос генерирует уникальный идентификатор для каждой жертвы. Затем он пингует Google Apps Script, сообщая ID инфицированного компьютера. В свою очередь Google Apps Script предоставляет вредоносу URL Google Spreadsheet и Google Forms, которые нужно использовать для данной жертвы. В Google Spreadsheet хранится конфигурация и команды, которые вредоносная программа должна выполнить, а Google Forms используется для выгрузки похищенной информации.

Carbanak vipolnenie comand

Исследователи Forcepoint совместно с Google уже ведется работа по прекращению операции Carbanak. Группировка Carbanak продолжает искать новые техники для уклонения от обнаружения.


Обновлено (19.01.2017 21:28)