Las versiones recientes del malware Carbanak abusa de varios servicios de Google para alojar-comando y control C & C, la cual usan para tratar las infecciones y exfiltrate datos robados.
Carbanak es el nombre de un grupo cibercriminal económicamente motivados que opera con la ayuda de una familia de malware a medida, también llamado Carbanak.
El malware permitió que el grupo trabaje durante varios años sin ser detectado. No obstante, el año 2015, las empresas de seguridad habían puesto al día las actividades de los ladrones ', cuando Kaspersky expone una campaña en la que la banda Carbanak robó más de mil millones de dólares de los bancos de todo el mundo.
Desde entonces, los movimientos del grupo han seguido de cerca por los investigadores de seguridad. Una de las compañías que recientemente se encontró con versiones del malware Carbanak es Forcepoint, que también notó un cambio significativo en el modo de funcionamiento del grupo.
De acuerdo con Forcepoint, el malware Carbanak ahora utiliza varios servicios de Google para alojar la infraestructura C & C, como Google Apps Script, Hojas de cálculo, y las formas de Google.
Las víctimas se ifectan mediante correo electrónico spam que contiene documentos de Word boobytrapped. Estos documentos vienen con objetos OLE incrustados disfrazados de imágenes. Los usuarios se les dice para hacer doble clic para abrir el contenido del documento, pero en realidad están instalando el malware Carbanak en sus PC.
Después de la infección, el malware genera un identificador único para cada equipo infectado. En versiones anteriores, el malware Carbanak pondría en contacto con un servidor web y recibir comandos a ejecutar, y también cargar la información robada a otra web o servidor FTP.
En la versión recientemente descubierta por Forcepoint, los pings de malware tienen una secuencia de comandos de Google Apps con el ID de la víctima. Si el Apps Script Google tiene una entrada para ese ID, proporcionará el malware con las direcciones URL de una hoja de cálculo de Google y se forma un Google.
La información tiendas de hoja de cálculo de configuración de Google y los comandos de software malicioso necesita ejecutar, mientras que el Google Forms URL se utiliza para cargar toda la información robada.
Si el Apps Script Google no posee una entrada para un nuevo ID de la víctima, se creará uno para transmitirlo.
Forcepoint dice que está trabajando con Google para cerrar las operaciones de la banda Carbanak.
