Trojaner nutzt Google Docs Viewer als Proxy

Der Symantec-Sicherheitsexperte Takashi Katsuki hat einen Trojaner entdeckt, der versucht, seinen Infektionsweg zu verschleiern, indem er eine Funktion von Google Docs als Proxy nutzt, um seinen Command-and-Control-Server (C&C) zu kontaktieren.

Der Schädling Backdoor.Makadocs, der alle Windows- sowie Windows-Server-Versionen seit Windows 95 befallen kann, öffnet eine Hintertür auf dem befallenen Rechner und versucht außerdem, Informationen zu stehlen.

Er bedient sich des Social Engineering, um in RTF- oder Doc-Dateien eingebettete, interessant aussehende Links anzubieten. Ein Klick auf einen solchen Link lädt Schadsoftware auf den betroffenen Rechner, der danach von den Angreifern gesteuert werden kann.

Solche Trojaner kommunizieren normalerweise direkt mit einem C&C-Server, der sie steuert und an die Informationen der befallenen Rechner übermittelt werden. Dies ist insofern problematisch, da nach einer Entdeckung durch die Analyse des Netzwerkverkehrs der C&C-Server Gefahr läuft, auch entdeckt zu werden.

Hier benutzt Backdoor.Makadocs einen neuen Trick zur Verschleierung, indem es den Viewer von Google Docs als Proxy-Server einsetzt. Der Google Docs Viewer dient normalerweise zur Generierung von URLs zur Ansicht von PDF- oder Office-Dokumenten und vielen weiteren Formaten aus Google Docs heraus direkt im Browser.

Die Programmierer von Backdoor.Makadocs haben einen Weg gefunden, diese Funktion von Google Docs als Proxy-Server einzusetzen. Auf diesem Weg verschleiert der Trojaner somit nicht nur seinen Infektionsweg sondern umgeht auch gleichzeitig eventuelle Firewalls der betroffenen Rechner. Da die Verbindung über HTTPS erfolgt und Verbindungen zu Google-Servern erst einmal unverdächtig erscheinen, ist dieser Umweg relativ sicher.

In seiner Analyse weist Takashi Katsuki dezent darauf hin, dass Google diesen Verkehr mittels einer Firewall leicht blockieren könnte.