Вредоносная программа отправляет похищенные документы на Google Drive

image

Теги: похищение информации, вредоносное ПО

Злоумышленники использовали данную программу в ходе атак, нацеленных на правительственные организации.

Исследователи безопасности компанииTrend Micro  обнаружили  новый вид вредоносной программы, которая похищает информацию и отправляет ее со скомпрометированных компьютеров на облачный сервис Google Drive. Вполне вероятно, что данная программа была использована злоумышленниками в ходе атак на правительственные организации.

Вредонос, получивший наименование Drigo, загружал все файлы Excel, Word, PDF и Powerpoint, а также текстовые документы и даже содержимое корзины с инфицированного компьютера и отправлял похищенные данные в облачное хранилище. Для совершения этой операции программа использовала секретные ключи приложения client_id и client_secret, а также маркер обновления (refresh token).

Как поясняет аналитик Trend Micro Кервин Алинтанахин (Kervin Alintanahin), маркеры обновления являются частью протокола OAuth 2.0, используемого Google Drive. Этот протокол, позволяющий реализовать безопасную аутентификацию пользователей, предоставляет возможность подписчикам Twitter и Facebook получить доступ из своих учетных записей на другие web-сайты.

Экспертам удалось получить доступ к учетной записи Google Drive и взглянуть на хранящуюся там информацию. Названия файлов позволили предположить, что злоумышленники атаковали по большей части правительственные организации. Специалисты считают, что Drigo была разработана в основном для разведывательных целей.

Алинтанахин уведомил руководство Google о нецелевом использовании учетной записи облачного сервиса, и на текущий момент аккаунт уже, скорее всего, деактивирован. Однако эта мера вряд ли окажется действенной, учитывая, что вредоносная программа может самообновляться посредством регулярной загрузки файлов. Таким образом, для хранения похищенной информации преступникам потребуется всего лишь создать новую учетную запись в Google Drive.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus