Trojaner benutzt Google Docs als Kommunikationskanal

Die IT-Sicherheitsfirma Symantec hat einen Trojaner namens Backdoor.Makadocs entdeckt, der sich in RTF- und Word-Dokumenten versteckt und Schadcode per Trojan.Dropper deponiert. Er bedient sich des Viewers von Googles Doc-Dienst für die Kommunikation mit seinem Kontrollserver.

Bislang stuft Symantec die Bedrohung durch den Trojaner als niedrig ein. Das zum Transport eingesetzte Dokument scheine an Empfänger in Brasilien gerichtet zu sein, schreibt das Unternehmen in einem Blog-Beitrag. Die Schadsoftware übertrage Informationen über den infizierten Rechner, etwa seinen Namen und das Betriebssystem. Sie sei, so Symantec, bereits für die erst vor kurzem veröffentlichten Microsoft-Betriebssysteme Windows 8 und Windows Server 2012 angepasst.

Der Umweg über die per HTTPS gesicherte Verbindung zum Google-Docs-Viewer soll den Datenverkehr zwischen Trojaner und Kontrollrechner verschleiern.
Bild: symantec.com Ungewöhnlich sei die Nutzung von Google Docs: Es bietet einen Viewer, der Inhalte per URL lädt und anzeigt. Laut Symantec nutzt Backdoor.Makadocs diesen Viewer, um Verbindung zum Kontrollrechner des Trojaners herzustellen. Der Umweg verschleiere den Datenverkehr zwischen dem infizierten Rechner und dem Kontrollserver, denn die Verbindung zu Google Docs ist per HTTPS gesichert, wodurch sie sich nur schwer lokal blockieren lasse. Google hingegen könne laut Symantec den Missbrauch des Viewers durch eine Firewall verhindern. (ck)