Google Docs byly zneužity ke skrytí nebezpečného provozu

Připojení serverů přes Google Docs nabízí útočníkům ochranu legitimního SSL. Podle FireEye měla kampaň za cíl země jako je Laos, Singapur či Kambodža a využívala ke svým útokům e-maily (tzv. spear-phishing útok). Malware při ní využitý je velmi sofistikovaný, obsahuje řadu kryptografických funkcí pro ničím nerušený chod. Vychází z trojanu „Trojan.APT.Seinup.“ Na disku je kód zašifrován či komprimován, načítán je bez použití Win32 API. Ihned po infikování si vytvoří backdoor pro vzdálenou správu systému.

Mnohem více podrobných informací, včetně ukázky callbacku, přehledných obrázků či informace o šifrování shell-kódu, naleznete na stránkách společnosti FireEye v příspěvku analytika Chong Rong Hwa. Dozvíte se třeba, že jedna z možností, jak zkoumat SSL provoz, je použití hardwarového SSL decryptoru.