Kriminelle missbrauchen Google-Dienste als Command&Control-Server

Cyberkriminelle haben eine Möglichkeit gefunden, gängige und für IT-Sicherheitsprodukte unverdächtige Google-Dienste zu nutzen, um ihre Attacken zu verschleiern. Entdeckt wurde das Verfahren durch Experten der IT-Sicherheitsfirma Forcepoint bei der Untersuchung eines RTF-Dokuments. Es enthielt ein verschlüsseltes Visual Basic Script (VBScript). Diese Malware erlaubt es, Google-Services als Kommando- und Kontroll-Infrastruktur (Command and Control, C&C) zu nutzen. Forcepoint hat Google über den Missbrauch dieser Dienste informiert.

Die Sicherheitsforscher von Forcepoint ordnen diese neue Angriffsmethode der Carbanak-Gruppe zu. Die hatte in der Vergangenheit von sich reden gemacht, weil sie ebenfalls mit besonders ausgefallenen und ausgeklügelten Methoden Banken erfolgreich angegriffen und sich wahrscheinlich auch Zugang zu einem Anbieter von Kassensystemen verschafft hatte. Die wahrscheinlich seit 2013 aktive Gruppe erhielt ihren Namen durch die gleichnamige Malware, die bei dem Angriff auf Banken verwendet wurde. Kaspersky schätzte Anfang 2015, dass die Cyberkriminellen bis dahin bei mehr als 100 Banken in 30 Ländern insgesamt mindestens 300 Millionen Dollar erbeuten konnten.

Ein unbedachter Klick kann eine Infektionskette auslösen (Bild: Forcepoint)

Mit der jetzt von Forcepoint entdeckten VBScript-Malware setzt die Carbanak-Gruppe Googles Services als unverdächtigen C&C-Kanal ein. Das Script “ggldr” kommuniziert laut Forcepoint mit den Google-Diensten Apps Script, Google Forms und Google Tabellen, um von dort Befehle zu erhalten. Für jeden infizierten Nutzer wird dynamisch eine eigene Google-Tabelle erstellt. Anfragen nach einer Google-Apps-Script-URL dienen dazu, eine eindeutige Google-Form-ID für jedes Opfer zu generieren.

Die Angreifer können ihre Aktivitäten durch die Nutzung der Google-Dienste unverdächtiger aussehen lassen, als wenn sie wie bisher meist üblich dafür etwa neu geschaffene Domains oder Domains ohne Reputation nutzen. Die werden von vielen Sicherheitsprodukten kritisch beäugt und oft automatisch blockiert.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

“Es ist unwahrscheinlich, dass diese gehosteten Google-Services in einer Organisation standardmäßig blockiert werden”, erklären die Forcepoint-Forscher. “Daher ist es wahrscheinlicher, dass der Angreifer erfolgreich einen C&C-Kanal einrichten kann.” Dafür Googles öffentliche Angebote zu nutzen, biete bessere Erfolgschancen.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Alle Prozesse im Blick: IT-Service Management bei der Haspa

Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…

6 Stunden ago

Wie generative KI das Geschäft rund um den Black Friday verändert

Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…

6 Stunden ago

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

1 Tag ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

1 Tag ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

1 Tag ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago