Een beruchte groep criminelen maakt gebruik van verschillende Google-diensten om geïnfecteerde computers op afstand te besturen. Het gaat om een bende genaamd Carbanak die miljoenen euro's bij banken en de horecasector wisten te stelen, zo melden beveiligingsbedrijven Forcepoint en Trustwave.
Om de computers te infecteren worden er kwaadaardige rtf-documenten verstuurd. Deze documenten bevatten een Visual Basic-script dat de malware installeert. Standaard worden scripts die aan documenten zijn toegevoegd niet door Office uitgevoerd. Daarom maken de aanvallers gebruik van social engineering. Het document laat de ontvanger weten dat het document beveiligd is en er moet worden geklikt op de afbeelding om de inhoud te kunnen zien.
Het Visual Basic-script maakt verbinding met Google Apps Scripts, Google Docs, Google Sheets of Google Form services. Op deze manier kunnen de aanvallers de besmette computers op afstand monitoren, malware verspreiden en verdere kwaadaardige acties uitvoeren. "Het gebruik van dergelijke diensten als onderdeel van de aanval is handig voor de aanvallers, aangezien de meeste bedrijfsnetwerken toestaan om hier verbinding mee te maken en het bijna onmogelijk is om ze te blacklisten", zegt onderzoeker Thanassis Diogos van Trustwave.
Hij krijgt bijval van Nicholas Griffin van Forcepoint. "Het gebruik van legitieme derde partijen zoals deze diensten geeft een aanvaller de mogelijkheid om zich in het zicht te verbergen. Het is onwaarschijnlijk dat deze Google-diensten standaard in een organisatie worden geblokkeerd, dus het is des te waarschijnlijker dat een aanvaller een command en control-kanaal kan opzetten." Volgens Griffin is het gebruik van Google als een kanaal om besmette computers te besturen waarschijnlijk succesvoller dan het gebruik van nieuw aangemaakte domeinen of domeinen zonder reputatie.
Deze posting is gelocked. Reageren is niet meer mogelijk.