Mil millones de dólares Hacker cuadrilla Ahora usar los servicios de Google para controlar su Banca malware

Carbanak - Una de las bandas de ciberdelincuentes mayor éxito que es conocida por el robo de un mil millones de dólares de más de 100 bancos en 30 países de nuevo en 2015 - está de vuelta con una explosión!

La banda cibernética Carbanak ha encontrado abusar de varios servicios de Google para emitir comando y control (C & C) de comunicaciones para supervisar y controlar las máquinas de las víctimas de malware confiados.

Dijeron Forcepoint Security Labs investigadores martes que durante la investigación de un activo explotar enviada en los mensajes de phishing como un archivo adjunto RTF, descubrieron que el grupo Carbanak se ha escondido en una simple sitio mediante el uso de los servicios de Google para el mando y control.

"Los actores Carbanak continúan buscando técnicas de ocultación para evitar su detección", dijo el investigador principal de la seguridad de Forcepoint Nicholas Griffin en una entrada en el blog . "El uso de Google como un canal de C & C independiente es probable que tenga más éxito que el uso de dominios o dominios de nueva creación sin reputación."

El documento RTF cuenta con un objeto OLE incrustado que contiene un VBScript (Visual Basic Script), que se asocia con anterioridad al el malware CarbanakY utiliza la ingeniería social para engañar a las víctimas para que haga clic en una imagen envolvente para "desbloquear el contenido."

Resulta que la imagen del sobre en realidad esconde el objeto incrustado OLE, por lo que tan pronto como la víctima hace doble clic en ese cuadro, un cuadro de diálogo que pregunta si la víctima quiere ejecutar el archivo unprotected.vbe.

Si la víctima ejecuta el archivo, el malware de VBScript Carbanak se alcanza a ejecutar, y, según Forcepoint, el malware se " enviar y recibir comandos desde y hacia Google Apps Script, Hojas de cálculo, y los servicios de los formularios de Google ."

Además de VBScript malware, los investigadores también descubrieron Forcepoint un nuevo módulo de script 'ggldr' codificado dentro del archivo principal de VBScript, junto con varios otros módulos de VBScript, capaz de usar los servicios de Google como canal de mando y control.

"El guión 'ggldr' va a enviar y recibir comandos desde y hacia Google Apps Script, Hojas de cálculo, y los servicios de Google Forms", "Para cada usuario infectado un único Hojas de cálculo de Google se crea de forma dinámica para gestionar cada víctima", dijo Griffin.

"El uso de un servicio de terceros legítimos como éste le da al atacante la capacidad de ocultar a la vista. Es poco probable que estos servicios de Google alojadas están bloqueados por defecto en una organización, por lo que es más probable que el atacante establecerá una C & C canal de éxito ".

Forcepoint investigadores estiman que es probable que el grupo de hackers está utilizando los servicios de Google, ya que estos servicios están habilitados de forma predeterminada en muchas empresas y organizaciones, lo que hace que sea más fácil para los hackers para exfiltrate de datos y envían instrucciones.

Carbanak, también conocido como Anunak, es una de las operaciones de ciberdelincuentes de mayor éxito en el mundo y es un grupo altamente organizado que evoluciona continuamente sus tácticas para llevar a cabo el crimen cibernético, evitando la detección por objetivos potenciales y las autoridades.

El grupo fue expuesto por primera vez en el año 2015 como delincuentes económicamente motivados principalmente dirigidas a las instituciones financieras. Desde que comenzó a funcionar en 2013, Carbanak ha robado más de $ 1 mil millones de más de 100 bancos en todo el mundo.

Forcepoint ya ha notificado a Google de la cuestión, y sus investigadores están trabajando con el gigante de la tecnología web en este abuso particular de sus servicios web legítimos.