Gli analisti della sicurezza di Symantech hanno scoperto un malware che utilizza Google Docs, adesso parte di Google Drive, come un ponte di comunicazione tra hackers al fine di gestire il traffico di malware. Il malware in questione, una nuova versione della famiglia Backdoor.Makadocs, utilizza la funzione “Viewer” di Google Drive come un proxy per ricevere istruzioni dal server che effettivamente invia i controlli ed i comandi.
Google Drive Viewer è stato progettato per permettere la visualizzazione di diversi tipi di file da URL remoti, rendendoli in Google Docs. “In violazione della politica di Google, Backdoor.Makadocs utilizza questa funzione per accedere a server specifici,” afferma Symantec. E’ possibile che l’autore del malware abbia utilizzato questo approccio al fine di rendere più difficile per i meccanismi di sicurezza di livello network, di accorgersi del traffico malevolo, dato che si camuffa da connessione criptata (Google Drive utilizza HTTPS) – come una qualsiasi connessione sicura. Backdoor.Makadocs è distribuito con l’aiuto di documenti Rich Text Format (RTF) o Microsoft Word (DOC), ma non sfrutta alcuna vulnerabilità per l’installazione delle componenti malware. Piuttosto, fa leva sulla curiosità dell’utente per invogliare a cliccare e lanciarli. Come avviene con altri programmi backdoor, Backdoor.Makadocs può eseguire comandi provenienti dai server che li controllano e di conseguenza rubare informazioni dai computer infettati.
Uno degli aspetti particolarmente interessanti della versione di backdoor analizzata da Symantec è il contenuto inserito per dedurre il sistema operativo della macchina-vittima: poichè riconosce anche Windows 8, Backdoor.Makadocs è relativamente nuovo. Al momento, Symantec ha reso noto che i bersagli primari sono localizzati in Brasile. Al momento, il livello di distribuzione di questo malware è indicato come basso.
