Forcepoint: Carbanak nutzt Google-Dienste für Malware-Hosting

Malware-Autoren nutzen offenbar auch Google-Dienste, um ihre Schadsoftware zu verbreiten. Das Unternehmen kann dagegen nur begrenzt vorgehen, wie die Sicherheitsfirma Forcepoint berichtet. Die Carbanak-Gruppe soll in den vergangenen Jahren unter anderem mit Angriffen auf Bankkonten und die Infrastruktur von Banken mehr als 1 Milliarde US-Dollar erbeutet haben.

Die Malware kommt in Form eines RTF-Dokumentes in dem Visual Basic Script-Kommandos (VBScript) enthalten sind. Öffnet ein Nutzer das Dokument, wird der Rechner infiziert. Die Malware erstellt dann für jeden Nutzer mit dem Skript ggldr eigene Dokumente bei Google Apps Script, Google Tabellen und Googles Formulardienst. Mit den Informationen in der dynamisch generierten Tabelle werden Informationen verwaltet, um den individuellen Angriff zu steuern. Die Tabelle dient demnach defacto als Command-und-Control-Server (C2).

Jeder Nutzer bekommt eigene Malware-Anweisungen

Für jeden Nutzer wird zunächst überprüft, ob bereits eine ID vorliegt. Ist dies nicht der Fall, erzeugt das Skript jeweils eine ID für Google-Scripts und für den Formulardienst. Ist bereits eine ID vorhanden, wird die Tabelle nach auszuführenden Befehlen durchsucht. Die ausgeführten Befehle werden dann in der Tabelle abgelegt.

Der Vorteil für die Angreifer: Kaum ein Unternehmen dürfte die URLs für Googles Dienste komplett blockieren, der Traffic wird also auch von einer Firewall nicht erkannt oder aufgehalten. Immer wieder kommen Kriminelle auf kreative Ideen, um Malware an ungewöhnlichen Stellen zu hosten, etwa im Speicher von Netzwerkdruckern. Eine Schwachstelle in der Treiberverwaltung von Windows ermöglichte im vergangenen Jahr sogar, Malware direkt von den Druckern aus an Clients zu verteilen.