Вредонос Drigo прячет похищенные документы на Google Drive


TrendMicroИсследователями безопасности из компании Trend Micro был выявлен новый вид вредоносной программы, способной похищать информацию, а затем переправлять ее со скомпрометированных компьютеров на облачный сервис Google Drive. Вероятно, что данная программа была использована злоумышленниками в ходе атак на правительственные организации.

Вредонос, который в компании наименовали Drigo, загружал с инфицированного компьютера все файлы Excel, Word, PDF и Powerpoint, а также текстовые документы и даже содержимое корзины. После этого он отправлял похищенные данные в облачное хранилище. Для осуществления данной операции программа использовала секретные ключи приложения client_id и client_secret, а также маркер обновления (refresh token).

В Trend Micro поясняют, что маркеры обновления являются частью протокола OAuth 2.0, который используется Google Drive. Этот протокол, позволяет реализовать безопасную аутентификацию пользователей, а также предоставляет возможность подписчикам Twitter и Facebook получить доступ из своих учетных записей на другие web-сайты.

Эксперты сумели получить доступ к учетной записи Google Drive и взглянуть на хранящуюся там информацию. Исходя из названий обнаруженных там файлов, можно предположить, что целью злоумышленников по большей части были правительственные организации. Поэтому специалисты компании рискнули предположить, что Drigo была разработана в основном для разведывательных целей.

После изучения вредоноса Trend Micro уведомили руководство Google о нецелевом использовании учетной записи облачного сервиса. Однако, не смотря на оперативность, пока еще не известно была ли проведена деактивация аккаунта. Хотя, независимо от этого, данная мера вряд ли окажется действенной. Это связано с тем, что вредоносная программа может самообновляться посредством регулярной загрузки файлов. Таким образом, для хранения похищенной информации киберпреступникам потребуется всего лишь создать новую учетную запись в Google Drive.


Обновлено (23.10.2014 02:25)