Espionagem Cibernética no Google Drive.
Drigo spyware explora Google Drive em ataques direcionados
Especialistas em segurança na TrendMicro teriam descoberto uma nova onda de ataques direcionados em que foram roubados informações através do Google Drive. O pesquisador detectou uma nova variante do malware rouba dados, apelidado Drigo, que é aparentemente usado em hacking campanhas segmentadas para agências governamentais em todo o mundo. O malware é capaz de sugar os arquivos do usuário da máquina infectada e enviou-o para o Google Drive.
Drigo é capaz de roubar arquivos comuns, incluindo Excel, Word, PDF, texto e arquivos do PowerPoint, incluindo dados na Lixeira e pasta de documentos do usuário e enviá-los para o Google Drive. A exploração de sites de compartilhamento baseados em nuvem está se tornando ainda mais freqüente no ecossistema cibercrime, nos últimos meses, os especialistas em segurança detectados RAT servido através destas plataformas poderosas e campanhas de phishing que beneficiaram de canais SSL que normalmente usa.
As técnicas manchado pelos investigadores são projetados para evitar os fornecedores de segurança e pesquisador e, em muitos casos, são muito sofisticados.
Drigo, a fim de transferir os arquivos syphoned ao serviço Google Drive inclui em seu código-fonte do client_id, o client_secret e um token de atualização (usado para o processo de autenticação com base no OAuth 2.0 protocolo).
"Fichas de atualização são necessários como parte do protocolo OAuth 2.0, que é usado pelo Google Drive. Este protocolo é utilizado pelo Twitter, Facebook e outros sites para usar suas contas para efetuar login em um site diferente ", afirma o analista de ameaças da Trend Micro Kervin Alintanahin em um post no blog . "Os tokens de acesso são utilizados para ter acesso a uma conta do Google Drive. No entanto, tokens de acesso expirar fichas de modo de atualização são necessários para obter novos tokens de acesso. Nós descriptografado comunicação da atividade de malware e serra, como os pedidos de novos tokens e upload de arquivos ".
A investigação permitiu aos especialistas para descobrir ataques direcionados contra agências do governo, eles especulam que o malware Drigo foi concebido para fins de reconhecimento.
"Afinal de contas, um dos aspectos-chave em um ataque bem sucedido é ter informações suficientes sobre o alvo. Quanto mais informações eles podem se reunir, o mais vetor de ataque que podem usar em seu alvo ", observou Alintanahin.
Outra descoberta interessante feita pelos especialistas é o uso da linguagem Go open source programação, também conhecido como golang, que foi inicialmente desenvolvido pela Google.
"Embora interessante, o uso de golang não é nova; pesquisadores de segurança já vi golang-criado malwares já em 2012 . Seria difícil identificar a razão exata para o uso golang mas alguns têm atribuído o seu apelo à sua suposta falta de perfil mainstream. ", diz o post no blog.
TrendMicro já alertou Google das atividades maliciosas relacionadas com a conta Google Drive usada pelos atores ruins, mas, como explicado pelos especialistas no post, se o malware Drigo é capaz de atualizar o arquivo de configuração, é possível que os atacantes vão usar muitas outras contas do Google Drive para continuar suas Campanhas.
Comentários