मैलवेयर सर्वर को कमांड और कंट्रोल करने के लिए प्रॉक्सी के रूप में Google डॉक्स का उपयोग करता है

एंटीवायरस विक्रेता सिमेंटेक के सुरक्षा शोधकर्ताओं ने मैलवेयर का एक टुकड़ा खोला है जो Google डॉक्स का उपयोग करता है, जो अब हिस्सा है Google ड्राइव, दुर्भावनापूर्ण ट्रैफ़िक को छिपाने के लिए हमलावरों के साथ संवाद करते समय पुल के रूप में।

मैलवेयर- Backdoor.Makadocs परिवार का एक नया संस्करण- Google ड्राइव "व्यूअर" सुविधा का उपयोग प्रॉक्सी के रूप में प्रॉक्सी के रूप में करता है वास्तविक आदेश और नियंत्रण सर्वर। Google ड्राइव व्यूअर को सीधे Google डॉक्स में दूरस्थ URL से विभिन्न प्रकार के फ़ाइल प्रकारों को प्रदर्शित करने की अनुमति देने के लिए डिज़ाइन किया गया था।

"Google की नीतियों का उल्लंघन करते हुए, Backdoor.Makadocs इस कार्य का उपयोग अपने सीएंडसी [नियंत्रण में कमांड] सर्वर तक पहुंचने के लिए करता है," एक ब्लॉग पोस्ट में शुक्रवार को सिमेंटेक शोधकर्ता ताकाशी कत्सुकी ने कहा।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

यह संभव है कि मैलवेयर लेखक ने नेटवर्क-स्तर के लिए इसे कठिन बनाने के लिए इस दृष्टिकोण का उपयोग किया सुरक्षा उत्पादों को दुर्भावनापूर्ण यातायात का पता लगाने के लिए, क्योंकि यह एन्क्रिप्टेड कनेक्शन के रूप में दिखाई देगा-Google ड्राइव डिफ़ॉल्ट रूप से HTTPS का उपयोग करता है-आमतौर पर विश्वसनीय सेवा के साथ, कत्सुकी ने कहा।

"इस तरह की गतिविधि करने के लिए किसी भी Google उत्पाद का उपयोग करना उल्लंघन का उल्लंघन है हमारी उत्पाद नीतियां, "एक Google प्रतिनिधि ने सोमवार को ईमेल के माध्यम से कहा। "जब हम दुर्व्यवहार के बारे में जागरूक होते हैं तो हम जांच करते हैं और कार्रवाई करते हैं।"

बैकडोर। मैकडॉक्स को रिच टेक्स्ट फॉर्मेट (आरटीएफ) या माइक्रोसॉफ्ट वर्ड (डीओसी) दस्तावेजों की मदद से वितरित किया जाता है, लेकिन यह दुर्भावनापूर्ण स्थापित करने के लिए किसी भी भेद्यता का फायदा नहीं उठाता है घटकों, कत्सुकी ने कहा। "यह दस्तावेज़ के शीर्षक और सामग्री के साथ उपयोगकर्ता की रुचि को पिक करने का प्रयास करता है और उन्हें उस पर क्लिक करने और इसे निष्पादित करने के लिए चालित करता है।"

अधिकांश पिछवाड़े कार्यक्रमों की तरह, Backdoor.Makadocs हमलावर के सीएंडसी सर्वर से प्राप्त आदेश निष्पादित कर सकते हैं और कर सकते हैं संक्रमित कंप्यूटर से जानकारी चोरी करें।

हालांकि, सिमेंटेक शोधकर्ताओं द्वारा विश्लेषण किए गए संस्करण का एक विशेष रूप से दिलचस्प पहलू यह है कि यह पता लगाने के लिए कोड है कि लक्ष्य मशीन पर स्थापित ऑपरेटिंग सिस्टम Windows Server 2012 या Windows 8 है, जिसे जारी किया गया था माइक्रोसॉफ्ट द्वारा क्रमशः सितंबर और अक्टूबर में।

मैलवेयर किसी भी फ़ंक्शन का उपयोग नहीं करता जो कि विंडोज 8 के लिए अद्वितीय है, लेकिन इस कोड की उपस्थिति से पता चलता है कि विश्लेषण संस्करण अपेक्षाकृत नया है, कत्सुकी ने कहा।

अन्य तार मैलवेयर कोड और बैट दस्तावेजों के नाम बताते हैं कि इसका उपयोग ब्राजील के उपयोगकर्ताओं को लक्षित करने के लिए किया जा रहा है। सिमेंटेक वर्तमान में मैलवेयर के वितरण स्तर को कम करता है।