Kriminelle missbrauchen Google-Dienste als Command&Control-Server

Cyberkriminelle haben eine Möglichkeit gefunden, gängige und für IT-Sicherheitsprodukte unverdächtige Google-Dienste zu nutzen, um ihre Attacken zu verschleiern. Entdeckt wurde das Verfahren durch Experten der IT-Sicherheitsfirma Forcepoint bei der Untersuchung eines RTF-Dokuments. Es enthielt ein verschlüsseltes Visual Basic Script (VBScript). Diese Malware erlaubt es, Google-Services als Kommando- und Kontroll-Infrastruktur (Command and Control, C&C) zu nutzen. Forcepoint hat Google über den Missbrauch dieser Dienste informiert.

Die Sicherheitsforscher von Forcepoint ordnen diese neue Angriffsmethode der Carbanak-Gruppe zu. Die hatte in der Vergangenheit von sich reden gemacht, weil sie ebenfalls mit besonders ausgefallenen und ausgeklügelten Methoden Banken erfolgreich angegriffen und sich wahrscheinlich auch Zugang zu einem Anbieter von Kassensystemen verschafft hatte. Die wahrscheinlich seit 2013 aktive Gruppe erhielt ihren Namen durch die gleichnamige Malware, die bei dem Angriff auf Banken verwendet wurde. Kaspersky schätzte Anfang 2015, dass die Cyberkriminellen bis dahin bei mehr als 100 Banken in 30 Ländern insgesamt mindestens 300 Millionen Dollar erbeuten konnten.

Ein unbedachter Klick kann eine Infektionskette auslösen (Bild: Forcepoint)

Mit der jetzt von Forcepoint entdeckten VBScript-Malware setzt die Carbanak-Gruppe Googles Services als unverdächtigen C&C-Kanal ein. Das Script “ggldr” kommuniziert laut Forcepoint mit den Google-Diensten Apps Script, Google Forms und Google Tabellen, um von dort Befehle zu erhalten. Für jeden infizierten Nutzer wird dynamisch eine eigene Google-Tabelle erstellt. Anfragen nach einer Google-Apps-Script-URL dienen dazu, eine eindeutige Google-Form-ID für jedes Opfer zu generieren.

Die Angreifer können ihre Aktivitäten durch die Nutzung der Google-Dienste unverdächtiger aussehen lassen, als wenn sie wie bisher meist üblich dafür etwa neu geschaffene Domains oder Domains ohne Reputation nutzen. Die werden von vielen Sicherheitsprodukten kritisch beäugt und oft automatisch blockiert.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

“Es ist unwahrscheinlich, dass diese gehosteten Google-Services in einer Organisation standardmäßig blockiert werden”, erklären die Forcepoint-Forscher. “Daher ist es wahrscheinlicher, dass der Angreifer erfolgreich einen C&C-Kanal einrichten kann.” Dafür Googles öffentliche Angebote zu nutzen, biete bessere Erfolgschancen.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

4 Stunden ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

5 Stunden ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

1 Tag ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

1 Tag ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

1 Tag ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

2 Tagen ago