Google Docs permite almacenar y distribuir malware. Los delicuentes lo aprovechan
Hace algunos meses pudimos comprobar en una investigación que llevamos a cabo en Segu-Info como Google Docs, Google Drive, así como también Skydrive de Microsoft, y otros servicios de almacenamiento en la nube, permiten almacenar archivos de malware. Y como era posible distribuir exitosamente los vínculos a esos archivos, sin obstáculos.
Decidimos no darlo a conocer en tanto no vimos que esto había sido aún explotado y no parecía muy fácil engañar al destinatario.
Bien, menos de tres meses después de esa investigación, recibimos por una denuncia el primer ejemplar de este tipo de abuso. Se trata de un correo que recibimos en denuncias.
El correo, en portugués, dice:
El correo engañoso (un malspam, spam con malware) es tradicional, un falso mensaje que invita a ver el enlacede un pedido inexistente el cual tiene un vínculo a un sitio de buena reputación: Google.com
Con esto los delincuentes consiguen: a) evitar sistemas de filtrado de correo por reputación de los enlaces y b) engañar al usuario mismo.
El enlace es: https://docs.google.com/uc?id=[ELIMINADO] y provoca la descarga de un archivo de nombre Inclusao-Serasa04.com el cual es detectado solo por 10/41 antivirus según el reporte de VirusTotal.
Hasta el momento podemos decir que este archivo es un malware bancario.
Si el correo de Google, Gmail, no permite adjuntar archivos de programas, ejecutables, "por razones de seguridad":
¿porqué permite Google Docs almacenar y así facilitar la distribución y descarga sin advertencias ni precauciones, de archivos de programa?
Actualización: Se ha informado a Google de lo que entendemos es una falla de diseño.
Actualización 7/09 14hs: El archivo de malware sigue alojado en Google Docs. Google no contestó aún el reporte de la falla.
Raúl de la Redacción de Segu-Info
Decidimos no darlo a conocer en tanto no vimos que esto había sido aún explotado y no parecía muy fácil engañar al destinatario.
Bien, menos de tres meses después de esa investigación, recibimos por una denuncia el primer ejemplar de este tipo de abuso. Se trata de un correo que recibimos en denuncias.
El correo, en portugués, dice:
De: [email protected] [mailto:[email protected]]Una captura del correo:
Enviado el: martes, 04 de septiembre de 2012 10:12 p.m.
Para: info
Asunto: Serasa: Pedido de inclusão em nossos registros.
Para a preservaç da qualidade e da segurançdos serviç prestados a comunidade e cumprimento do disposto no Art. 43, Paráafo segundo, da lei Nr. 8.078, de 11 de setembro de 1990, comunicamos que recebos da instituiç credora, pedido de inclusãem nossos registros da (s) anotaç (oes) abaixo descriminada (s).
Nú de Documento: 05.487.514/0001-37
Correspondente ao Nome: MILENIUN SERVICE LTDA;
Valor: 8.547,25 / Data Ocorrida: 04/08/2010 / Contrato: 88654147-8
A Serasa aguardaráelo prazo de 10 dias , contado da postagem dessa correspondêia, manifestaç de V. SA ou da Instituiç Credora quanto a regularizaç da (s) dída (s). Na ausêia da manifestaç, a inclusãseráefetuada.
Caso V. Sa. necessite de informaçs adicionais ou para a regularizaç da anotaç, solicitamos que vizualize abaixo os detalhes do pedido de inclusã
Detalhes do pedido de inclusã MILENIUN SERVICE LTDA. <-- enlace a archivo malware en GoogleDocs
Email enviado para:[Email] Copyright© 2009 - Serasa Experian - Todos os direitos Reservados
El correo engañoso (un malspam, spam con malware) es tradicional, un falso mensaje que invita a ver el enlacede un pedido inexistente el cual tiene un vínculo a un sitio de buena reputación: Google.com
Con esto los delincuentes consiguen: a) evitar sistemas de filtrado de correo por reputación de los enlaces y b) engañar al usuario mismo.
El enlace es: https://docs.google.com/uc?id=[ELIMINADO] y provoca la descarga de un archivo de nombre Inclusao-Serasa04.com el cual es detectado solo por 10/41 antivirus según el reporte de VirusTotal.
Hasta el momento podemos decir que este archivo es un malware bancario.
Recomendación
Como se ve en este nuevo caso de malspam, es muy importante estar alerta al contexto y recordar no seguir enlaces no solicitados, aún cuando sean de sitios confiables. Hasta Google.com (Docs) está siendo abusado por los delincuentes.Conclusiones:
En nuestra opinión, los sistemas de almacenamiento en la nube no deberían permitir este tipo de abuso.Si el correo de Google, Gmail, no permite adjuntar archivos de programas, ejecutables, "por razones de seguridad":
¿porqué permite Google Docs almacenar y así facilitar la distribución y descarga sin advertencias ni precauciones, de archivos de programa?
Actualización: Se ha informado a Google de lo que entendemos es una falla de diseño.
Actualización 7/09 14hs: El archivo de malware sigue alojado en Google Docs. Google no contestó aún el reporte de la falla.
Raúl de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!