Google-Apps als Malware-Kommandozentrale missbraucht


Beim Hacken von Netzwerken stellt sich für die Angreifer häufig das Problem, dass die Firewall den Datenverkehr zwischen den infizierten Rechnern und dem Command & Control-Server (C&C-Server) im Internet unterbindet und dem Administrator eine entsprechende Warnung schickt. Um die Kommunikation wie einen harmlosen, alltäglichen Datenaustausch aussehen zu lassen, hat daher eine Gruppe von Kriminellen mehrere Google-Apps für ihre Zwecke eingespannt, wie ein Bericht der Sicherheitsfirma Forcepoint ausführt.

Die Hacker, die unter dem Namen Carbanak Cybergang bekannt sind, haben sich auf eine neue Form des Bankraubs spezialisiert, bei der sie Computersysteme von Geldinstituten infizieren und sich von dort aus Zugriff auf Bankautomaten verschaffen. Mit der aktuellen Version ihrer Software nutzen sie Google Apps Script, Google Tabellen und Google Formulare für die Steuerung und Verwaltung ihrer Malware. Sie spekulieren offensichtlich darauf, dass die Datenkommunikation mit diesen von vielen Unternehmen genutzten Diensten keinen Verdacht erregt und von Firewalls anstandslos durchgelassen wird.

Der Angriff beginnt mit einem RTF-Dokument, das als E-Mail-Anhang verschickt wird. Darin steckt ein VB Script, das beim Öffnen des Dokuments automatisch ausgeführt wird und sich als Bilddatei tarnt. Klickt der Anwender dieses File doppelt an, erscheint noch eine Sicherheitsabfrage, ob das VBE-Programm tatsächlich ausgeführt werden soll. Wenn der Benutzer das bestätigt, beginnt die Infektion.

Das Skript enthält ein Modul namens ggldr, das Kontakt zu den drei genannten Google-Diensten aufnimmt. Es fragt zunächst bei Google Apps Script an, ob für den PC bereits eine ID vorliegt. Falls nicht, legt es für jeden infizierten Rechner eine ID für Google Formulare sowie eine eigene Google-Tabelle an. Diese dient fortan als C&C-Server und verwaltet die weiteren Aktionen der kriminellen Hacker.

Forcepoint hat Google mittlerweile über die Angriffsmethode informiert und arbeitet zusammen mit dem Unternehmen an einer Lösung.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments (0)

Skip to main content