Trojaner kommuniziert über Google Docs Viewer

Der Trojaner Backdoor.Makadocs gelangt über RTF- oder DOC-Dateien auf den Rechner. Soweit bekannt ist, nutzt der Trojaner keine Sicherheitslücken in Word oder anderen Office-Produkten. Er setzt stattdessen auf Social Engineering. In den Dokumenten sind Links enthalten, über die der Nutzer auf spannende Inhalte gelangen soll. Wer einen Link anklickt, lädt sich die Schadsoftware herunter. Diese öffnet eine Hintertür, über die sich der PC fernsteuern lässt. Die Kriminellen können beliebige Software installieren und Daten ausspionieren.

Zur Steuerung dient ein Command-and-Control-Server (C&C), an den die Schadsoftware Daten sendet und von dem sie Befehle empfängt. Die meisten Backdoor-Trojaner kommunizieren direkt mit dem Server. Das setzt allerdings voraus, das die Firewall den Datenverkehr nicht behindert. Bei einer Analyse des Netzwerkverkehrs könnten außerdem die Verbindungen zu einem fremden Server auffallen.

Um dem zu entgehen, setzt Backdoor.Makadocs auf den Google Docs Viewer. Der Google-Dienst erwartet normalerweise eine URL zu einem PDF oder Office-Dokument und zeigt den Inhalt dann im Browser an. Die Programmierer des Trojaners haben Wege gefunden, Google Docs Viewer als Zwischenstation (Proxy-Server) für die Kommunikation mit dem C&C-Server einzusetzen. Die Verbindung erfolgt verschlüsselt über HTTPS und lässt sich daher nicht abhören. Firewalls lassen zudem HTTPS-Verbindungen in der Regel zu und der Datentransfer mit dem Google-Server dürfte den meisten Nutzern und Administratoren auch nicht als auffällig erscheinen. Laut Symantec müsste Google den Missbrauch von Google Docs Viewer durch eine Firewall verhindern und damit die Nutzer besser schützen.