安全研究人员在Google协作平台上发现了用于构建网站的恶意软件。这个恶意软件是一个窃取信息的下载器,它将数据发送到由攻击者控制的MySQL服务器。
Google协作平台(Google Sites)是Google用来取代Google Page Creator的一款基于Wiki的在线网站制作系统,为Google Apps的一部分,其目标是任何人都能够创建一个团队为导向的网站,其中多人可以协作和共享文件。——百度百科
该恶意软件名为LoadPCBanker,是一个会伪装成PDF文件的可执行文件,看起来就像保存了酒店预订信息的文件,存储在 Google协作平台的文件柜存储空间中。
文件柜(the File Cabinet)
文件柜模板允许你创建一个“存储”,可存放文档,图像,pdf,演示文稿等任何电子文件。 你可以将文档从硬盘上传到你的网站,并将其整理到“存储”中。简单来说,文件柜可管理你的所有文件。 你可以:
- 从你的计算机添加文件
- 从Web网站中添加文件
- 为每个主页面都创建一个文件柜
- 隐藏文件柜 - 显示在页面底部的站点导航中
- 将文件柜中项目连接到网页超链接
——Google Sites File Cabinet
研究人员提取到的PDF名称是“PDF Reservations Details MANOEL CARVALHO hospedagem familiar detalhes PDF.exe”,这表示网络犯罪分子针对的是英语或葡萄牙语的受害者。Netskope的研究人员于4月12日报告了托管该恶意软件的相关Google网站。但是,在撰写本文时恶意软件依然存在,还可以下载。
如果使用VirusTotal扫描它 ,会看到66个防病毒引擎中有47个能检测到它。“黑客使用著名的谷歌协作平台来创建一个网站,然后使用文件柜上传payload,最后将生成的URL发送给潜在目标,”Netskope在与BleepingComputer分享的报告中说。
启动时,伪造的PDF文件会创建一个文件夹,并从文件托管网站KingHost下载payload:libmySQL50.DLL,otlook.exe和cliente.dll。显然,Otlook.exe这个名字是为了模仿Microsoft的Outlook电子邮件客户端,这是一个信息窃取程序,可以截取屏幕截图,记录保存在剪贴板中的数据,以及记录按键信息。它还会充当某个文件的下载器,不断接收被盗取的SQL数据库的凭据及其连接详细信息。借助恶意DLL组件可以对数据进行提取,这个DLL组件是一个用于与数据库服务器进行连接的库。
研究人员所捕获的数据库中有两个可用的表:一个包含有关受感染计算机的信息,另一个包含被窃取的剪贴板数据。
“在我们的分析过程中,我们发现黑客特别感兴趣某些特定的机器,尝试捕获受害者的电脑屏幕截图。我们之所以得出这个结论是因为我们注意到有很多机器受到感染,但是只有少数会被攻击者主动监控。在撰写本文时,黑客正在主动控制20台受感染的主机。“研究人员认为,自2014年初以来,此类恶意软件一直存在。而从2019年2月以来一直很活跃。目前还不清楚这些攻击的幕后主使是否是同一个人,也暂未发现其他网络犯罪分子使用类似的恶意代码。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/2511.html
来源:https://www.bleepingcomputer.com/news/security/malware-hosted-in-google-sites-sends-data-to-mysql-server/
