Netskope威胁研究实验室的IT安全研究人员在谷歌站点上发现了一种新的恶意软件,谷歌站点是谷歌为开发网站提供的专用平台。
被研究人员称为LoadPCBanker,这个恶意软件实际上是一个可执行文件,隐藏在一个名为“PDF reservation Details MANOEL CARVALHO hospedagem familiar detalhes PDF.exe”的PDF文件中。
这个名字表明,黑客特别针对(巴西)说英语和葡萄牙语的人。这个文件是一个dropper,它的任务是窃取信息和传输数据到MYSQL服务器,这是由未知的黑客直接控制。此外,PDF文件被设计为存储在谷歌站点File Cabinet存储空间中,以保存预订信息。
由于该恶意软件的部署方式,它被命名为LoadPCBanker。据研究人员称,这次攻击之所以被发现,是因为它有趣的传输方式,因为与谷歌的其他服务(如阻止恶意文件上传的Gmail)不同,谷歌文件柜没有显示此类限制。
Netskope的Ashwin Vamshi在一篇博客文章中写道,这次攻击值得注意的是,虽然谷歌的其他服务,如Gmail,有适当的保护措施来阻止这样的恶意文件上传,但Google File Cabinet没有。
它基本上是一个传统的平台,在那里可以建立简单的网站,但File Cabinet是一个单独的功能,用于上传文件,这些文件后来托管在网站上。这一次,网络罪犯正在利用这一特殊功能来启动LoadPCBlocker。
黑客利用File Cabinet将恶意软件上传到网站,并通过钓鱼邮件将恶意网站链接发送给不知情的用户。当收件人单击显示为谷歌url的链接时,它们将被重定向到攻击者的网站,恶意可执行文件将伪装成酒店或宾馆预订信息形式的PDF文件。
或许,网络罪犯现在正着眼于利用谷歌在全球享有的正面品牌形象和声誉。Netskope的Ashwin Vamshi指出,用户“更有可能成为谷歌服务中发起的攻击的受害者”。
Netskope的研究人员进一步揭示,用户最有可能点击谷歌链接而不是附件,因为他们现在知道打开可疑附件的后果。LoadPCBanker恶意软件有几个攻击阶段。
第一阶段是启动父下载器,允许将下一阶段的有效负载从文件托管网站转移到受害者的设备。这些有效载荷负责收集剪贴板数据、屏幕截图和输入记录。然后数据被传输到攻击者的MYSQL服务器。
研究人员表示,这种机制并没有显示攻击者的复杂程度,而是表明网络罪犯试图通过混入标准SQL流量来窃取信息,以逃避检测。值得注意的是,安全研究人员在2014年发现了一个类似的恶意软件,而这一次,随着功能的一些重大升级,该软件再次发布。
目前尚不清楚新一波攻击的幕后主使是同一名攻击者,还是恶意代码与他人共享。
领取专属 10元无门槛券
私享最新 技术干货