Вирус Drigo использует Google Drive в качестве хранилища

Trend Micro заявил о выявлении новой разновидности вредоносного ПО, которое отправляет сведения с зараженных ПК непосредственно на Google Drive. Эксперты полагают, что данный вирус использовался хакерами при нападениях на сайты различных госструктур.

Вредонос, которому присвоили имя Drigo, отправлял в гугловское «облако» все файлы «офисных» форматов (Word, Excel, а также PDF и txt). При этом троянец не пренебрегал и содержимым корзины. Чтобы совершать кражи, Drigo использовал секретные ключи от клиентских приложений client_id и _secret и маркеры обновлений, которые входят в состав протокола OAuth, применяемого в Google Drive. Данный протокол обеспечивает безопасность аутентификации пользователей, а также открывает пользователям Twitter и Facebook возможность захода прямо со своих соцсетевых аккаутнтов в аккаунты на прочих web-ресурсах.

Эксперты Trend Micro смогли заполучить доступ аккаунту злоумышленников на Google Drive, чтобы посмотреть на имеющуюся там информацию. Наименования файлов дали основания полагать, что хакеры нападали в основном на государственные структуры: их не интересовали данные банковских карточек или аккаунтов от online poker. Эксперты предполагают, что Drigo разрабатывался специально для целей разведывательного свойства.

Trend Micro оперативно уведомил Google об обнаруженном. Однако, учитывая возможность Drigo к самообновлению, злоумышленники взамен их вычисленного аккаунта на Drive вполне возможно просто создадут новый.