Forcepoint: Carbanak nutzt Google-Dienste für Malware-Hosting

Wer seine Malware auf einem Command-und-Control-Server hostet, läuft Gefahr, von Firewall-Regeln erkannt zu werden. Die Carbanak-Gruppe liefert Kommandos daher über Google-Docs aus.

Artikel veröffentlicht am ,
Kriminelle hosten Malware auch bei Google-Diensten.
Kriminelle hosten Malware auch bei Google-Diensten. (Bild: Screenshot Golem.de)

Malware-Autoren nutzen offenbar auch Google-Dienste, um ihre Schadsoftware zu verbreiten. Das Unternehmen kann dagegen nur begrenzt vorgehen, wie die Sicherheitsfirma Forcepoint berichtet. Die Carbanak-Gruppe soll in den vergangenen Jahren unter anderem mit Angriffen auf Bankkonten und die Infrastruktur von Banken mehr als 1 Milliarde US-Dollar erbeutet haben.

Stellenmarkt
  1. IT-Mitarbeiter (m/w/d) für klinische Anwendungen und Digitalisierungsprojekte
    Diakonie-Klinikum Stuttgart, Stuttgart
  2. IT-Generalist (m/w/d)
    SaluVet GmbH, Bad Waldsee
Detailsuche

Die Malware kommt in Form eines RTF-Dokumentes in dem Visual Basic Script-Kommandos (VBScript) enthalten sind. Öffnet ein Nutzer das Dokument, wird der Rechner infiziert. Die Malware erstellt dann für jeden Nutzer mit dem Skript ggldr eigene Dokumente bei Google Apps Script, Google Tabellen und Googles Formulardienst. Mit den Informationen in der dynamisch generierten Tabelle werden Informationen verwaltet, um den individuellen Angriff zu steuern. Die Tabelle dient demnach defacto als Command-und-Control-Server (C2).

Jeder Nutzer bekommt eigene Malware-Anweisungen

Für jeden Nutzer wird zunächst überprüft, ob bereits eine ID vorliegt. Ist dies nicht der Fall, erzeugt das Skript jeweils eine ID für Google-Scripts und für den Formulardienst. Ist bereits eine ID vorhanden, wird die Tabelle nach auszuführenden Befehlen durchsucht. Die ausgeführten Befehle werden dann in der Tabelle abgelegt.

Der Vorteil für die Angreifer: Kaum ein Unternehmen dürfte die URLs für Googles Dienste komplett blockieren, der Traffic wird also auch von einer Firewall nicht erkannt oder aufgehalten. Immer wieder kommen Kriminelle auf kreative Ideen, um Malware an ungewöhnlichen Stellen zu hosten, etwa im Speicher von Netzwerkdruckern. Eine Schwachstelle in der Treiberverwaltung von Windows ermöglichte im vergangenen Jahr sogar, Malware direkt von den Druckern aus an Clients zu verteilen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Sam Zeloof
Student baut Chip mit 1.200 Transistoren

In seiner Garage hat Sam Zeloof den Z2 fertiggestellt und merkt scherzhaft an, Moore's Law schneller umgesetzt zu haben als Intel selbst.

Sam Zeloof: Student baut Chip mit 1.200 Transistoren
Artikel
  1. Xbox Cloud Gaming: Wenn ich groß bin, möchte ich gerne Netflix werden
    Xbox Cloud Gaming
    Wenn ich groß bin, möchte ich gerne Netflix werden

    Call of Duty, Fallout oder Halo: Neue Spiele bequem am Business-Laptop via Stream zocken, klingt zu gut, um wahr zu sein. Ist auch nicht wahr.
    Ein Erfahrungsbericht von Benjamin Sterbenz

  2. IBM: Watson Health anteilig für 1 Mrd. US-Dollar verkauft
    IBM
    Watson Health anteilig für 1 Mrd. US-Dollar verkauft

    Mit Francisco Partners greift eine große Investmentgruppe zu, das Geschäft mit Watson Health soll laut IBM darunter aber nicht leiden.

  3. Lego Star Wars UCS AT-AT aufgebaut: Das ist kein Mond, das ist ein Lego-Modell
    Lego Star Wars UCS AT-AT aufgebaut
    "Das ist kein Mond, das ist ein Lego-Modell"

    Ganz wie der Imperator es wünscht: Der Lego UCS AT-AT ist riesig und imposant - und eines der besten Star-Wars-Modelle aus Klemmbausteinen.
    Ein Praxistest von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MediaMarkt & Saturn: Heute alle Produkte versandkostenfrei • Corsair Vengeance RGB RT 16-GB-Kit DDR4-4000 114,90€ • Alternate (u.a. DeepCool AS500 Plus 61,89€) • Acer XV282K UHD/144 Hz 724,61€ • MindStar (u.a. be quiet! Pure Power 11 CM 600W 59€) • Sony-TVs heute im Angebot [Werbung]
    •  /