Symantec a découvert un trojan appelé Backdoor.Makadocs qui se cache dans des documents RTF ou Word et injecte du code malveillant via Trojan.Dropper.
Apparemment, il utilise le Viewer de Google Docs pour communiquer avec son serveur C&C.
Symantec évalue actuellement le niveau de menace de ce trojan comme "très faible". Dans un message sur son blog, ils affirment que le document semble surtout cibler les utilisateurs du Brésil. Apparemment, le malware transfère des informations telles que le nom d'hôte et le nom du système d'exploitation de l'ordinateur infecté. Symantec ajoute que tout cela a été patché dans les dernière mises à jour de Microsoft.
La caractéristique inhabituelle et toute particulière de ce trojan est l'utilisation de la visionneuse de documents qu'offre Google Docs pour afficher différents types de fichiers via des URLs. Symantec indique que Backdoor.Makadocs utilise cette visionneuse pour communiquer avec le serveur C&C du trojan. Apparemment, le détournement empêche le trafic de données entre le système infecté et le serveur C&C d'être découvert car ces connexions Google Docs sont chiffrées en utilisant le protocole HTTPS. Il devient donc difficile de le bloquer localement. Cependant, Google pourrait prévenir cela en implémentant un pare-feu à sa visionneuse.
MISES A JOUR DE L'ARTICLE |