Hakerzy i twórcy trojanów zaczęli wykorzystywać Google Groups do przesyłania poleceń dla swoich trojanów. Ostatnio coraz częściej wykorzystywane są wszelkie serwisy społecznościowe do takich celów. Niedawno opisywaliśmy podobny przypadek znaleziony na Twitterze.

Te rozkazy dla Trojan.Grups są pierwszym pierwszym tego typu mechanizmem Command and Control (C&C) wykrytym przez Symanteca. Sam przypadek używania grup dyskusyjnych nie jest łatwy do wykrycia i można sądzić że takie przypadki będą lawinowo wzrastać.

Samo Google Groups jest tu stroną neutralną. Autorzy mogli wybrać dowolny inny serwis. Trojan jest dość prosty. Rozprowadzony jest jako plik DLL, który następnie loguje się na specyficzne konto gmail. Po pomyślnym zalogowaniu się odwiedza prywatną grupę dyskusyjną skąd pobiera kolejne polecenia. Każda komenda składa się z indeksu i umieszczana jest jako temat. Post i cała zawartość jest szyfrowana strumieniowo przez RC4 i zapisana w kodowaniu Base64.

Wprawdzie jest to skuteczna metoda wydawania poleceń, jednak ma to pewne wady. Każda odpowiedź jest przechowywana dzięki czemu po wykryciu można śledzić całą aktywność.

Ważną cechą tej metody jest jej niewątpliwa atrakcyjność, gdyś hakerzy nie muszą wkładać wysiłku ani pieniędzy w dodatkowe serwery dedykowane.

Źródło: Symantec