La variante Backdoor.Makadocs utiliza Google Drive Viewer para recibir instrucciones desde un servidor de control.
Investigadores de seguridad de la empresa de seguridad Symantec han descubierto un malware que utiliza Google Docs, que ahora es parte de Google Drive, como un puente para comunicarse con agresores para ocultar tráfico malicioso.
El malware -una nueva versión de la familia Backdoor.Makadocs- utiliza la opción Viewer de Google Drive como un proxy para recibir instrucciones de un servidor de control externo. Google Drive Viewer fue diseñado para permitir una variedad de tipos de archivos desde URLs remotas directamente en Google Docs.
“Violando las políticas de Google, Backdoor.Makadocs utiliza esta función para acceder al servidor C&C (de comando y de control)”, dijo el investigador de Symantec Takashi Katsuki este viernes.
Es posible que el autor del malware haya usado este método para hacer más difícil que algunos productos de seguridad de redes puedan detectarlo, ya que aparece como una conexión encriptada -Google Drive usa HTTPS por defecto- de un servicio de confianza, dijo Katsuki.
“Usar cualquier producto de Google para estas actividades es una violación de nuestras políticas”, dijo un representante de Google el lunes por correo electrónico. “Investigaremos y tomaremos las medidas necesarias”.
Backdoor.Makadocs es distribuido con la ayuda de documentos RTF o .doc, pero no explota ninguna vulnerabilidad instalando sus componentes maliciosos, dice Katsuki. Como la mayoría de programas backdoor, ejecuta comandos recibidos por los agresores y puede robar información de computadoras infectadas.