Троян Carbanak использует сервисы Google в качестве C&C-серверов

Новые модификации вредоносного ПО Carbanak используют ряд сервисов Google (Google Apps Script, Google Sheets и Google Forms) для хостинга своей C&C-инфраструктуры, сообщают эксперты компании Forcepoint Security Labs.

По данным исследователей, злоумышленники рассылают спам-сообщения с прикрепленным вредоносным RTF-документом, содержащим OLE объект с файлом VBScript. При открытии документа пользователям предлагается разблокировать контент двойным щелчком мыши. После осуществления данного действия на экране отображается диалоговое окно для запуска unprotected.vbe, однако в действительности на компьютер будет загружен банковский троян Carbanak.

Предыдущие версии Carbanak связывались с C&C-сервером для получения дальнейших указаний и отправляли похищенную информацию на другой web- или FTP-сервер. Однако новая модификация действует иначе. Оказавшись на системе, вредонос генерирует уникальный идентификатор для каждой жертвы, а затем пингует Google Apps Script, сообщая ID инфицированного компьютера. Google Apps Script предоставляет вредоносу URL Google Spreadsheet и Google Forms, которые нужно использовать для данной жертвы. В Google Spreadsheet хранится конфигурация и команды, которые вредоносная программа должна выполнить, а Google Forms используется для выгрузки похищенной информации.

Исследователи Forcepoint совместно с Google уже ведут работу по прекращению операции Carbanak. Группировка Carbanak продолжает искать новые техники для уклонения от обнаружения. Эксплуатация Google в качестве независимого C&C-канала, вероятнее всего, будет более действенным методом, чем использование свежесозданных доменов или доменов без репутации, отмечают эксперты.