Grupo de cibercriminosos está se aproveitando da legitimidade de serviços de terceiros para roubar dados e comandar malwares nas máquinas das vítimas.

O grupo hacker Carbanack está usando serviços do Google para esconder suas comunicações com malwares bancários nos computadores das vítimas. Os cibercriminosos recorrem a ferramentas como Google Apps Script, Google Sheets e Google Forms para monitorar o controle das máquinas das vítimas.

O Carbanak é conhecido por ter roubado mais de US$ 1 bilhão em mais de 100 bancos em 30 países em 2015. Também conhecido como Annuak, o grupo iniciou as operações em 2013 e, desde então, tem recorrido a diversas táticas para evitar a detecção de suas ameaças pelas vítimas e pelas autoridades governamentais.

A descoberta foi feita por pesquisadores da Forcepoint Security Labs por meio da análise de arquivos RTF anexos em e-mails de uma campanha de phishing. De acordo com especialistas em segurança da empresa, os hackers do Carbanak estão usando os serviços do Google, principalmente, para ações de comando e controle.

Segundo Cleber Marques, diretor da KSecurity, empresa brasileira de cibersegurança, os hackers provavelmente estão se aproveitando desses serviços por eles serem permitidos na maioria das empresas e organizações, o que torna mais fácil a retirada de dados e o envio de instruções ao malware. “Os hackers perceberam que a maioria das empresas que são seus alvos estão melhorando sua estratégia para bloquear qualquer comunicação com domínios sem reputação ou recém-criados. Por outro lado, é bem pouco provável que as empresas bloqueiem domínios do Google”, afirma o executivo.

Como funciona o ataque

Para tirar proveito dos serviços do Google, os hackers implementam um objeto malicioso em um documento RTF anexo que é previamente associado ao malware Carbanak.

Por meio de técnicas de engenharia social, os hackers tentam engajar as vítimas e fazer com que cliquem em uma imagem para “desbloquear o conteúdo”, que na verdade esconde um objeto malicioso. Assim que a vítima dá o duplo clique na imagem, uma caixa de diálogo pergunta se o usuário deseja rodar um arquivo e, caso a vítima aceite, o malware é executado e passa a enviar e receber comandos de serviços Google.

O arquivo RTF é enviado como parte de um ataque de phishing, técnica usado para espalhar vários outros tipos de ameaças, incluindo ransomwares.

“Mais uma vez vemos o phishing sendo usado e demonstrando altos níveis de efetividade para infectar computadores. Mesmo os usuários mais conscientes podem abrir anexos perigosos quando a mensagem do phishing é convincente”, afirma Marques.

O uso de serviços de terceiros para dar legitimidade a ações maliciosas não é novidade no cibercrime. Em 2012, um Trojan conhecido como Makadocs estava usando o Google Docs para facilitar suas comunicações.

“Pode parecer estranho hospedar arquivos críticos em servidores do Google, mas esse é, na verdade, um sistema bem inteligente de entregar comandos ou receber dados de computadores infectados”, finaliza o diretor da KSecurity.

Fonte: Computer World