Malver šalje ukradene informacije na Google Drive nalog napadača
Vesti, 23.10.2014, 10:00 AM
Zloupotreba sajtova baziranih na oblaku kao što su Dropbox, Sendspace i Evernote nije strana sajber kriminalcima. Osim što tako dobijaju besplatan prostor za svoje maliciozne fajlove, ovi sajtovi odgovaraju kriminalcima jer tako mogu da izbegnu proizvođače antivirusa i istraživače.
Najnoviji slučaj takve zloupotrebe inače legitimnih sajtova otkrili su stručnjaci kompanije Trend Micro. Oni su otkrili malver TSPY_DRIGO.A, koji koristi Google Drive za izvlačenje informacija od žrtava.
Kada se pokrene, malver traži određene vrste fajlova u određenim folderima koje potom otprema na Google Drive. Malver traži XLSX, XLS, DOC, DOCX, PDF, TXT, PPT i PPTX fajlove, i to u Recycle Bin i folderu User Documents.
Da bi poslao fajlove koje pronađe na Google Drive, malver sadrži client_id i client_secret zajedno sa refresh tokenom.
Refresh tokeni su neophodni kao deo OAuth 2.0 protokola koji koristi Google Drive. Taj protokol koriste Twitter, Facebook i drugi sajtovi čiji se nalozi koriste za prijavljivanje na različite sajtove.
Pristupni (access) tokeni se koriste za pristup Google Drive nalogu. Međutim, kada istekne pristupni token, refresh token je potreban da bi se dobio novi pristupni token.
U Trend Micro su dešifrovali komunikaciju malvera i otkrili aktivnosti kao što su zahtevi za novim tokenima i prenos fajlova.
Istraživači su uspeli da zavire u Google Drive nalog koji pripada kriminalcima. Nazivi fajlova koje su tamo pronašli su ih naveli da posumnjaju da napadači ciljaju uglavnom vladine agencije i da se malver koristi kao izviđač, za rane faze napada.
“Uostalom, jedan od ključnih aspekata uspešnog napada je da imate dovoljno informacija o cilju. Što više informacija sakupe, na više načina mogu napasti svoj cilj”, kažu iz Trend Micro.
Google je obavešten o ovome, i do sada je kompanija verovatno već ugasila sporni Google Drive nalog. Međutim, malver se redovno ažurira preuzimanjem novog konfiguracionog fajla, tako da je moguće da napadači jednostavno otvore novi Google Drive nalog kao destinaciju za ukradene dokumente.
Izdvojeno
Korisnici iPhonea mete napada upitima za resetovanje lozinke
Sofisticirana phishing kampanja koja cilja korisnike iPhonea poslednjih meseci ukazala je na slabost u Appleovom mehanizmu za resetovanje lozinke. Pre... Dalje
Mobi Banka upozorava na pokušaje prevare na društvenim mrežama
Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje
Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare
Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje
Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare
Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje
Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji
Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje
Pratite nas
Nagrade