Selon le chercheur, l'auteur du malware a probablement choisi cette modalité pour rendre la détection du trafic malveillant plus difficile au niveau du réseau. « Google Drive utilise le HTTPS par défaut et les outils de sécurité identifient le trafic comme des connexions chiffrées, » a-t-il expliqué. « L'usage de tout produit Google pour mener ce genre d'activité viole nos règles», a déclaré hier un porte-parole de Google par courriel. « Nous sommes actuellement en train d'enquêter sur la question et nous avons pris les mesures nécessaires dès que nous avons eu connaissance de ces abus ».
Une malware très récent capable de détecter Windows 8
Comme l'a expliqué Takashi Katsuki, « le Backdoor.Makadocs est disséminé avec des fichiers au format Rich Text Format (RTF) ou Microsoft Word (DOC), mais n'exploite aucune vulnérabilité pour installer ses composants malveillants. Avec un titre ou un contenu attractif, il incite l'utilisateur à ouvrir la pièce jointe. C'est en cliquant sur le document que celui-ci installe le malware à son insu ». Comme la plupart des programmes de porte dérobée, Backdoor.Makadocs peut obéir à des commandes envoyées par un serveur de commande et de contrôle et parvient ainsi à voler des informations sur les ordinateurs infectés.
La variante analysée par les chercheurs de Symantec présente une particularité intéressante : son code lui permet de détecter si le système d'exploitation installé sur l'ordinateur cible est Windows Server 2012 ou Windows 8, sortis respectivement en septembre et en octobre derniers. « Le malware n'utilise aucune fonction propre à Windows 8, mais la présence de ce code indique que la variante est relativement récente », a déclaré le chercheur. Certaines lignes de code du malware et les noms des faux documents envoyés en pièce jointe laissent penser que le malware cible des utilisateurs brésiliens. Pour l'instant, selon Symantec, la propagation du malware est assez faible.