Malware: nueva variante reconoce Windows 8, usa Google Docs como proxy

Se ha descubierto que una nueva variante de troyano, detectado como Backdoor.Makadocs se propaga a través de RTF y documentos Microsoft Word marcado como Trojan.Dropper el malware, no sólo añade una cláusula para apuntar a Windows 8 y Windows Server 2012, sino que también utiliza Google Docs como un servidor proxy para llamar a su Command & Control (C&C) server.

Symantec cree que la amenaza de dicho malware ha sido actualizada por el autor del software malicioso incluyendo las referencias de Windows 8 y Windows Server 2012.

Esto no es sorprendente: los dos sistemas operativos fueron lanzados hace menos de un mes – pero por supuesto, ya son populares, con lo que los cibercriminales están actuando rápidamente.

La parte más interesante agregada a este malware, es la adición de Google Docs. Backdoor.Makadocs reúne información del ordenador infectado (como el host name y el tipo de sistema operativo) y después, recibe y ejecuta órdenes desde un servidor C&C para hacer más daño.

Para ello, los autores del software malicioso han decidido aprovechar Google Docs para asegurar una comunicación clara. A medida que GDocs se vuelve más y más popular, y que las empresas siguen aceptándolo y permitiendo el servicio a través de sus firewalls, este método resulta ser una táctica inteligente.

La razón por la que esto funciona es porque GDocs incluye una función “viewer” que recupera los recursos de otra URL y la muestra, lo que permite al usuario ver gran variedad de tipos de archivos en el navegador. En violación a las políticas de Google, Backdoor.Makadocs utiliza esta función para acceder a su servidor C&C – probablemente con la esperanza de impedir que el enlace al C & C sea descubierto desde que Google Docs encripta su conexión a través de HTTPS.

Symantec dice que “es posible que Google evite esta conexión mediante un servidor de seguridad.”

VÍA: THE NEXT WEB