Des chercheurs en sécurité de Symantec ont découvert qu'un morceau de malware utilisait les Google Docs, désormais inclus dans Google Drive, comme passerelle pour masquer un trafic malveillant et communiquer avec des attaquants. Le malware - une variante de la famille Backdoor.Makadocs - utilise la fonction « Viewer » de Google Drive comme proxy pour recevoir des instructions d'un serveur de commande et de contrôle. La visionneuse de Google Drive permet d'afficher différents types de fichiers depuis une adresse URL distante directement dans les Google Docs. « En violation avec la politique de Google, le Backdoor.Makadocs utilise cette fonction pour accéder à un serveur C&C », a déclaré vendredi dans un blog le chercheur en sécurité de Symantec, Takashi Katsuki. Selon le chercheur, l'auteur du malware a probablement choisi cette modalité pour rendre la détection du trafic malveillant plus difficile au niveau du réseau. « Google Drive utilise le HTTPS par défaut et les outils de sécurité identifient le trafic comme des connexions chiffrées, » a-t-il expliqué. « L'usage de tout produit Google pour mener ce genre d'activité viole nos règles», a déclaré hier un porte-parole de Google par courriel. « Nous sommes actuellement en train d'enquêter sur la question et nous avons pris les mesures nécessaires dès que nous avons eu connaissance de ces abus ».

Une malware très récent capable de détecter Windows 8

Comme l'a expliqué Takashi Katsuki, « le Backdoor.Makadocs est disséminé avec des fichiers au format Rich Text Format (RTF) ou Microsoft Word (DOC), mais n'exploite aucune vulnérabilité pour installer ses composants malveillants. Avec un titre ou un contenu attractif, il incite l'utilisateur à ouvrir la pièce jointe. C'est en cliquant sur le document que celui-ci installe le malware à son insu ». Comme la plupart des programmes de porte dérobée, Backdoor.Makadocs peut obéir à des commandes envoyées par un serveur de commande et de contrôle et parvient ainsi à voler des informations sur les ordinateurs infectés.

La variante analysée par les chercheurs de Symantec présente une particularité intéressante : son code lui permet de détecter si le système d'exploitation installé sur l'ordinateur cible est Windows Server 2012 ou Windows 8, sortis respectivement en septembre et en octobre derniers. « Le malware n'utilise aucune fonction propre à Windows 8, mais la présence de ce code indique que la variante est relativement récente », a déclaré le chercheur. Certaines lignes de code du malware et les noms des faux documents envoyés en pièce jointe laissent penser que le malware cible des utilisateurs brésiliens. Pour l'instant, selon Symantec, la propagation du malware est assez faible.