Kriminelle missbrauchen Google-Dienste als Command&Control-Server

Forcepoint (Grafik: Forcepoint)

Indem sie sich Services wie Google Apps Script, Google Forms und Google Tabellen zunutzen machen, können Cyberkriminelle ihre Aktivitäten verschleiern. Anwender werden durch ein RTF-Dokument, das verschlüsseltes Visual Basic Script enthält, in die Falle gelockt.

Cyberkriminelle haben eine Möglichkeit gefunden, gängige und für IT-Sicherheitsprodukte unverdächtige Google-Dienste zu nutzen, um ihre Attacken zu verschleiern. Entdeckt wurde das Verfahren durch Experten der IT-Sicherheitsfirma Forcepoint bei der Untersuchung eines RTF-Dokuments. Es enthielt ein verschlüsseltes Visual Basic Script (VBScript). Diese Malware erlaubt es, Google-Services als Kommando- und Kontroll-Infrastruktur (Command and Control, C&C) zu nutzen. Forcepoint hat Google über den Missbrauch dieser Dienste informiert.

Die Sicherheitsforscher von Forcepoint ordnen diese neue Angriffsmethode der Carbanak-Gruppe zu. Die hatte in der Vergangenheit von sich reden gemacht, weil sie ebenfalls mit besonders ausgefallenen und ausgeklügelten Methoden Banken erfolgreich angegriffen und sich wahrscheinlich auch Zugang zu einem Anbieter von Kassensystemen verschafft hatte. Die wahrscheinlich seit 2013 aktive Gruppe erhielt ihren Namen durch die gleichnamige Malware, die bei dem Angriff auf Banken verwendet wurde. Kaspersky schätzte Anfang 2015, dass die Cyberkriminellen bis dahin bei mehr als 100 Banken in 30 Ländern insgesamt mindestens 300 Millionen Dollar erbeuten konnten.

Ein Klick kann eine Infektionskette auslösen (Bild: Forcepoint)
Ein unbedachter Klick kann eine Infektionskette auslösen (Bild: Forcepoint)

Mit der jetzt von Forcepoint entdeckten VBScript-Malware setzt die Carbanak-Gruppe Googles Services als unverdächtigen C&C-Kanal ein. Das Script “ggldr” kommuniziert laut Forcepoint mit den Google-Diensten Apps Script, Google Forms und Google Tabellen, um von dort Befehle zu erhalten. Für jeden infizierten Nutzer wird dynamisch eine eigene Google-Tabelle erstellt. Anfragen nach einer Google-Apps-Script-URL dienen dazu, eine eindeutige Google-Form-ID für jedes Opfer zu generieren.

Die Angreifer können ihre Aktivitäten durch die Nutzung der Google-Dienste unverdächtiger aussehen lassen, als wenn sie wie bisher meist üblich dafür etwa neu geschaffene Domains oder Domains ohne Reputation nutzen. Die werden von vielen Sicherheitsprodukten kritisch beäugt und oft automatisch blockiert.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

“Es ist unwahrscheinlich, dass diese gehosteten Google-Services in einer Organisation standardmäßig blockiert werden”, erklären die Forcepoint-Forscher. “Daher ist es wahrscheinlicher, dass der Angreifer erfolgreich einen C&C-Kanal einrichten kann.” Dafür Googles öffentliche Angebote zu nutzen, biete bessere Erfolgschancen.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.