Вредоносная программа использует черновики Gmail для похищения данных
На данный момент не существует простого способа обнаружения факта похищения данных без блокировки ученой записи Gmail. Исследователи безопасности начинающей компании Shape Security обнаружили на компьютере одного из своих клиентов новый образец вредоносного ПО, который использовал необычную форму коммуникаций с командным сервером. Программа авторизовалась в почтовом сервисе Gmail и получала команды из не отправленного черновика. Это позволяло злоумышленникам отправлять программные обновления и инструкции, а также извлекать похищенную информацию, сообщает портал Wired.

По словам экспертов, процесс проходил следующим образом: злоумышленник создавал анонимную учетную запись в Gmail, а затем инфицировал компьютер жертвы вредоносной программой. После получения контроля над ПК, преступник открывал подложный аккаунт на машине пользователя. Соединение происходило из браузера Internet Explorer, запущенного в невидимой сессии (IE позволяет другим программам запускать себя в таком режиме, для того чтобы получать информацию из интернета, поэтому очень часто пользователь даже не знает, что на его компьютере открыта какая-либо web-страница).

Затем посредством запуска скрипта на Питоне, программа извлекала инструкции и код, внедренные преступником на полях черновика. После этого вредонос там же оставлял свое подтверждение вместе с похищенной с компьютера жертвы информацией. Все коммуникации проводились в зашифрованном виде.

Как отмечает исследователь безопасности Shape Security Уэйд Уильямсон (Wade Williamson), данная вредоносная программа является разновидностью позволяющего получить удаленный доступ трояна Icoscript, обнаруженного в августе этого года специалистами немецкой ИБ-компании G-Data. Что примечательно, в компании уверены, что Icoscript используется еще с 2012 года.

Из-за скрытого характера коммуникаций на данный момент сложно сказать, сколько машин инфицировано этой разновидностью RAT. Как поясняют специалисты компании, пока не существует простого способа обнаружения факта похищения данных без блокировки ученой записи Gmail.