黑客利用谷歌网站传播银行恶意软件，居然针对这个国家

Netskope威胁研究实验室的IT安全研究人员在谷歌站点上发现了一种新的恶意软件，谷歌站点是谷歌为开发网站提供的专用平台。

被研究人员称为LoadPCBanker，这个恶意软件实际上是一个可执行文件，隐藏在一个名为“PDF reservation Details MANOEL CARVALHO hospedagem familiar detalhes PDF.exe”的PDF文件中。

这个名字表明，黑客特别针对(巴西)说英语和葡萄牙语的人。这个文件是一个dropper，它的任务是窃取信息和传输数据到MYSQL服务器，这是由未知的黑客直接控制。此外，PDF文件被设计为存储在谷歌站点File Cabinet存储空间中，以保存预订信息。

由于该恶意软件的部署方式，它被命名为LoadPCBanker。据研究人员称，这次攻击之所以被发现，是因为它有趣的传输方式，因为与谷歌的其他服务(如阻止恶意文件上传的Gmail)不同，谷歌文件柜没有显示此类限制。

Netskope的Ashwin Vamshi在一篇博客文章中写道，这次攻击值得注意的是，虽然谷歌的其他服务，如Gmail，有适当的保护措施来阻止这样的恶意文件上传，但Google File Cabinet没有。

它基本上是一个传统的平台，在那里可以建立简单的网站，但File Cabinet是一个单独的功能，用于上传文件，这些文件后来托管在网站上。这一次，网络罪犯正在利用这一特殊功能来启动LoadPCBlocker。

黑客利用File Cabinet将恶意软件上传到网站，并通过钓鱼邮件将恶意网站链接发送给不知情的用户。当收件人单击显示为谷歌url的链接时，它们将被重定向到攻击者的网站，恶意可执行文件将伪装成酒店或宾馆预订信息形式的PDF文件。

或许，网络罪犯现在正着眼于利用谷歌在全球享有的正面品牌形象和声誉。Netskope的Ashwin Vamshi指出，用户“更有可能成为谷歌服务中发起的攻击的受害者”。

Netskope的研究人员进一步揭示，用户最有可能点击谷歌链接而不是附件，因为他们现在知道打开可疑附件的后果。LoadPCBanker恶意软件有几个攻击阶段。

第一阶段是启动父下载器，允许将下一阶段的有效负载从文件托管网站转移到受害者的设备。这些有效载荷负责收集剪贴板数据、屏幕截图和输入记录。然后数据被传输到攻击者的MYSQL服务器。

研究人员表示，这种机制并没有显示攻击者的复杂程度，而是表明网络罪犯试图通过混入标准SQL流量来窃取信息，以逃避检测。值得注意的是，安全研究人员在2014年发现了一个类似的恶意软件，而这一次，随着功能的一些重大升级，该软件再次发布。

目前尚不清楚新一波攻击的幕后主使是同一名攻击者，还是恶意代码与他人共享。