A Trend Micro alerta que tem visto malware que se aproveita destes sites, como o DropBox, o Sendspace e o Evernote. Agora, também inclui o Google Drive na lista dos sites "abusados". Recentemente, a empresa se deparou com um malware, detectado como TSPY_DRIGO.A, que usa o Google Drive como uma forma de obter informações sobre suas vítimas.
Acesso ao Google Drive
Uma vez executado, o malware irá verificar os seguintes tipos de arquivos em determinados locais para carregá-los no Google Drive:
XLSX
XLS
DOC
DOCX
PDF
TXT
PPT
PPTX
Os locais nos quais o malware verifica e busca por estes arquivos incluem a lixeira e a pasta Documentos do usuário.
Com o objetivo de fazer o upload dos arquivos para o Google Drive, foram incluídos no malware o "client_id" e o "client_secret", junto a um token de atualização. Tokens de atualização são necessários como parte do protocolo OAuth 2.0, que é usado pelo Google Drive. Este protocolo é utilizado pelo Twitter, Facebook e outros sites para permitir que as contas nestes sites sejam usadas para efetuar login em sites diferentes. Os tokens de acesso são utilizados para ter acesso a uma conta do Google Drive. No entanto, tokens de acesso expiram, então tokens de atualização são necessários para obter novos tokens de acesso.
A Trend Micro descriptografou a comunicação da atividade do malware e notou atividades como os pedidos de novos tokens e upload de arquivos.
Os especialistas da empresa usaram essa mesma abordagem para verificar os arquivos que foram carregados na conta do Google Drive. Enquanto elaboravam a postagem dessa mesma notícia no blog, alguns dos arquivos ainda estavam "ativos" ou presentes na conta. Também descobriram que os nomes dos arquivos revelam quem são as entidades visadas, na sua maioria, agências governamentais.
A outra conexão com o Google
O uso do Google Drive não é a única coisa que conecta este malware com o Google. O malware foi, na verdade, criado usando a linguagem de programação Go, vulgarmente conhecido como "golang". Esta é uma linguagem de programação de código aberto que foi inicialmente desenvolvido pelo Google. Segundo o Google, "os objetivos do projeto Go eram eliminar a lentidão e outras questões no desenvolvimento de software no Google, e, assim, tornar o processo mais produtivo e escalável."
Embora interessante, a utilização da linguagem golang não é nova; pesquisadores de segurança já viram a golang sendo usada para criar malwares desde 2012. Seria difícil identificar as razões exatas para o uso da golang mas alguns têm atribuído o seu apelo à sua suposta falta de perfil dominante ou de massa.
A coleta de informações
A análise mostra que este malware só pode fazer o upload de arquivos do tipo "documento" para o Google Drive. Este tipo de rotina de malware é perfeito para a fase do reconhecimento – uma das etapas iniciais de ataques direcionados. Afinal, um dos principais aspectos de um ataque bem sucedido é ter informações suficientes sobre um determinado alvo. Quanto mais informações eles puderem reunir, maior vetor de ataque podem usar em seus alvos.
Os seguintes "hashes" estão relacionados a este ataque:
2C32674B334F10000CB63ED4BA4EE543A16D8572
2D98DDF8F5128853DD33523BCBBD472B8D362705
Segundo a Trend Micro o Google já foi notificado sobre o incidente.