Mã độc tự động đánh cắp dữ liệu rồi tải lên Google Drive

Một mẫu mã độc đã được phát hiện bởi các nhà nghiên cứu tại TrendMicro. Malware này được thiết kế để ăn cắp dữ liệu trên máy tính bị nhiễm rồi tải chúng lên dịch vụ lưu trữ của Google Drive.

Malware TSPY_DRIGO.A sẽ quét rất nhiều thư mục, bao gồm cả các thư mục chứa tài liệu, thùng rác nhằm tìm kiếm tệp tin văn bản. Chúng tìm những tập tin text (.txt), các tập tin tài liệu Word (.doc, .docx), Microsoft Excel spreadsheets (.xls, .xlsx), PDF và cả Microsoft PowerPoint (.ppt, .pptx) để đánh cắp dữ liệu. Khi đã tìm thấy các tệp tin này, TSPY_DRIGO.A tải chúng lên tài khoản Google Drive của tin tặc. “Để tải file lên Google Drive, thông số client_id và client_secret được tích hợp sẵn trên malware cùng với một “refresh token”. Refresh token là một phần cần có trong giao thức OAuth 2.0 được sử dụng bởi Google Drive. Giao thức này cũng được Twitter, Facebook và những trang web khác sử dụng phục vụ cho việc đăng nhập.”

Các nhà nghiên cứu đã sử dụng phương thức này để tìm kiếm tài khoản tin tặc. Dựa vào những file đã được tải lên, Trend Micro xác định rằng các tổ chức bị tấn công hầu hết là cơ quan chính phủ. Công ty không đưa ra thông tin cụ thể nhằm bảo vệ riêng tư. TSPY_DRIGO.A đánh cắp dữ liệu của các chính phủ có thể liên quan đến những kẻ tấn công đang làm nhiệm vụ do thám, tình báo. “Loại mã độc này thường xuyên được sử dụng cho việc trinh thám. Một trong những thành công của cuộc tấn công là nắm đủ thông tin của mục tiêu. Càng nhiều phương thức tấn công thì càng thu thập được nhiều thông tin”.

Một điều thú vị là TSPY_DRIGO.A được phát triển bởi Go, một ngôn ngữ lập trình do Google tạo ra. Không phải là lần đầu tiên một mã độc được viết bằng Go, loại đầu tiên đã được Symantec phát hiện vào tháng 9 năm 2012. Vào tháng 11 năm 2013, Malwarebytes báo cáo rằng tin tặc sử dụng Google Drive để chuyển hướng đến trang web lừa đảo. Đầu năm nay, Symantec cũng thông báo rằng dịch vụ này được sử dụng để lưu trữ những trang web lừa đảo.

Securityweek