Início » Antivírus e Segurança » Trojan para Windows 8 evita firewall ao usar Google Docs e mira especialmente nos brasileiros

Trojan para Windows 8 evita firewall ao usar Google Docs e mira especialmente nos brasileiros

Backdoor.Makadoc aparece em arquivo de Word ou de texto RTF

Avatar Por

Nova ameaça virtual na praça. Não que seja exatamente nova, visto que foi lançada pelo menos há um mês, mas somente agora vem chamando a atenção ao ganhar popularidade. O cavalo de troia (trojan) denominado como ‘Backdoor.Makadocpela Symantec utiliza algumas artimanhas para evitar poderosos firewalls. E o pior: parece que foi criado com especial interesse nos internautas brasileiros.

De acordo com a firma de segurança, o Backdoor.Makadoc utiliza vulnerabilidades tanto do Windows 8, lançado em 26 de outubro no Brasil, quanto do Windows Server 2012, apresentado ao mercado em setembro.

Texto em português no código do software malicioso (fonte: Symantec)

Texto em português no código do software malicioso

Normalmente um trojan recorre a um centro de controle e comando (chamado de C&C) para receber instruções de quais comandos executar no computador da vítima. Em vez de procurar este servidor malicioso, porém, a versão mais recente do trojan recorre ao Google Docs para baixar os comandos. Reside nesse breve detalhe a surpresa da Symantec em alertar para a existência do software malicioso.

O Google Docs tem se tornado cada vez mais importante para muitas empresas, que o adotam como alternativa ao Microsoft Office ou liberam o acesso às ferramentas online devido à necessidade dos parceiros comerciais. Com isso, as chances de os domínios do Docs serem bloqueados nas diretrizes de corporações de grandes empresas diminuem.

Aliado a isso, o serviço de produtividade do Google, com editor de texto, planilha e apresentação a la PowerPoint, emprega criptografia e a forma mais segura de troca de dados. Ou seja, ao mandar o Backdoor.Makadoc se conectar ao Google Docs, os hackers mal intencionados têm uma linha direta e sem ruídos. De acordo com a Symantec, só é possível realizar essa conexão graças ao visualizador do Docs que mostra trechos dos documentos sem que o navegador tenha de fazer o download do arquivo em si.

Pelo que a firma de segurança relata, o cavalo de troia vem sendo distribuído como um arquivo RTF (de texto) ou de Microsoft Word.

Backdoor.Makadoc utiliza engenharia social para disseminação. Captura de tela apresentada pela Symantec mostra que certos trechos do software malicioso claramente foram escritos em português. “Admins. do domínio” e “Administradores” estão presentes no código extraído pela firma.

Estamos em contato com o escritório brasileiro da Symantec para saber mais detalhes sobre o assunto.

O Google disse em nota que qualquer atividade maliciosa fere os termos de uso do serviço Docs. Por enquanto, pelo que nos consta, a Microsoft não se manifestou.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Cobalto
Verdade! Um desascaso sem limite!
Ela devia fazer o Windows 8 bloquear o acesso ao Google Docs e evitar de vez esse problema!
/s
Luandersonn
Olha que ter que se preocupar em instalar aplicativo da loja oficial, hein. Tem coisas que só Android faz por você.
YanGM
Que isso, é totalmente normal um aplicativo de calculadora pedir permissões para enviar SMS.
Fábio de Jesus
Nessas horas que agradeço por ser desconfiado e meus games não rodarem no windows 8, o descaso da Microsoft é algo a se pensar.
YanGM
Que isso, é totalmente normal um aplicativo de calculadora pedir permissões para enviar SMS.
Luandersonn
Só não vá instalar aplicativo oficial da loja! É muito perigoso :P
viniciusghietti
Brasileiro se fod#$$ viuu.... kk
viniciusghietti
Brasileiro si se fod#$$ viuu.... kk
Ezequiel Gervasio Gouveia
Ainda bem q só uso meu tablet com Android
Cobalto
"Presently, this document does not utilize any vulnerability in order to drop its component, instead, it relies on social engineering tactics. It attempts to pique the user’s interest with the title and content of the document and trick them into clicking on it and executing it."

Ele não se espalha sozinho, você basicamente precisa pedir pra rodar o bichinho, o ~diferencial~ é estar disfarçado de documento de texto salvo no Google Docs :/

Desde que você não abra/visualize nenhum arquivo rtf (até onde se sabe) pelo Google Docs, está seguro. Se precisa usar o Google Docs, desde que não abra arquivos de desconhecidos, ainda está seguro. Se precisar abrir arquivos de desconhecidos, ferrô!

Como eu uso Win8 e WP7, eu só uso Skydrive mesmo.
Então até semana que vem, quando arrumarem um jeito de transmitirem ele por lá também, eu tô seguro :V
Luandersonn
Como disse o Cobalto: "Systems Affected: Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP"

Estou ou não seguro?

OBS: Seu site não abre mais no Google Chrome?
Cobalto
"Windows 8 was released in October of this year. This is not necessarily a surprise for security researchers as we always encounter new malware when new products are released. However, this malware does not use any particular function unique to Windows 8 and we know that this malware existed before the launch of Windows 8. Based on these facts, we believe this code must be an update to the malware."

De acordo com o texto original e diferente do texto do Tecnoblog:
1) Ele foi atualizado para o Windows 8, não feito para o Windows 8.
2) Ele não utiliza nenhuma vulnerabilidade especial do Windows 8 ou do Windows Server 2012.

Tanto que ele afeta "apenas" todas essas versões do Windows (faltou só o 3.11, meh):
Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP.

Info tirada daqui:
http://www.symantec.com/security_response/writeup.jsp?docid=2012-111609-4148-99