Un nuovo Trojan usa Google Docs come proxy server

Nel fine settimana Symantec ha diffuso alcune informazioni relative al malware Macadoc. Come primo interessante dettaglio in merito a questo codice malevolo si osserva una nuova variate, capace di funzionare anche con Windows 8 e Windows Server 2012: come prevedibile, il recente lancio dei nuovi sistemi operativi Microsoft ha anche generato un interesse da parte di chi gestisce il cyber-crime.

Al momento secondo alcune fonti non è ancora chiara la pay-load attivata dal malware su Windows 8 o Windows Server 2012. Ma l'attenzione si rivolge a un interessante dettaglio di Backdoor.Makadocs: come molti altri malware simili, per il componente è necessario un contatto diretto con una struttura command-and-control e il mantenimento di questo collegamento è una priorità. Nel caso specifico la connessione avviene sfruttando Google Docs come layer aggiuntivo - una sorta di proxy - e di difficile controllo lato client locale.

Backdoor.Makadocs in completa violazione con le policy di Gogle Docs utilizza la possibilità di Google Docs di offrire la visualizzazione di documenti all'interno del browser web. Inoltre, la connessione con Google Docs avviene su HTTPS come per molti dei servizi gestiti da Google.

Takashi Katsuki nel blog di Symantec afferma anche che al momento non è ben chiara la pericolosità di Macadoc, ma sottolinea come da parte di Google l'individuazione di attività simili sia piuttosto semplice e per giocare d'anticipo rispetto a possibili nuove varianti più pericolose sarebbe il caso di intervenire quanto prima. Google, pur sottolineando che questo genere di azioni avviene in violazione alle proprie policy, ha confermato alcune proprie indagini al fine di intervenire in caso di abusi.

Backdoor.Makadocs viene diffuso attraverso un file .RTF il cui nome viene modificato con logiche tali da indurre l'utente a procedere all'apertura del documento.