Malver šalje ukradene informacije na Google Drive nalog napadača

Vesti, 23.10.2014, 10:00 AM

Malver šalje ukradene informacije na Google Drive nalog napadača

Zloupotreba sajtova baziranih na oblaku kao što su Dropbox, Sendspace i Evernote nije strana sajber kriminalcima. Osim što tako dobijaju besplatan prostor za svoje maliciozne fajlove, ovi sajtovi odgovaraju kriminalcima jer tako mogu da izbegnu proizvođače antivirusa i istraživače.

Najnoviji slučaj takve zloupotrebe inače legitimnih sajtova otkrili su stručnjaci kompanije Trend Micro. Oni su otkrili malver TSPY_DRIGO.A, koji koristi Google Drive za izvlačenje informacija od žrtava.

Kada se pokrene, malver traži određene vrste fajlova u određenim folderima koje potom otprema na Google Drive. Malver traži XLSX, XLS, DOC, DOCX, PDF, TXT, PPT i PPTX fajlove, i to u Recycle Bin i folderu User Documents.

Da bi poslao fajlove koje pronađe na Google Drive, malver sadrži client_id i client_secret zajedno sa refresh tokenom.

Refresh tokeni su neophodni kao deo OAuth 2.0 protokola koji koristi Google Drive. Taj protokol koriste Twitter, Facebook i drugi sajtovi čiji se nalozi koriste za prijavljivanje na različite sajtove.

Pristupni (access) tokeni se koriste za pristup Google Drive nalogu. Međutim, kada istekne pristupni token, refresh token je potreban da bi se dobio novi pristupni token.

U Trend Micro su dešifrovali komunikaciju malvera i otkrili aktivnosti kao što su zahtevi za novim tokenima i prenos fajlova.

Istraživači su uspeli da zavire u Google Drive nalog koji pripada kriminalcima. Nazivi fajlova koje su tamo pronašli su ih naveli da posumnjaju da napadači ciljaju uglavnom vladine agencije i da se malver koristi kao izviđač, za rane faze napada.

“Uostalom, jedan od ključnih aspekata uspešnog napada je da imate dovoljno informacija o cilju. Što više informacija sakupe, na više načina mogu napasti svoj cilj”, kažu iz Trend Micro.

Google je obavešten o ovome, i do sada je kompanija verovatno već ugasila sporni Google Drive nalog. Međutim, malver se redovno ažurira preuzimanjem novog konfiguracionog fajla, tako da je moguće da napadači jednostavno otvore novi Google Drive nalog kao destinaciju za ukradene dokumente.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Sofisticirana phishing kampanja koja cilja korisnike iPhonea poslednjih meseci ukazala je na slabost u Appleovom mehanizmu za resetovanje lozinke. Pre... Dalje

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje