Foi com o surgimento do primeiro vírus de computador que se deu início a uma das mais longas caçadas de gato e rato da humanidade. E que ainda não teve seu fim. E provavelmente nunca terá. Desde então, as empresas tentam blindar seus softwares para que eles não sejam vulneráveis aos famigerados vírus de computadores. Essa “corrida armamentista” dos tempos modernos resultou em sistemas de segurança cada vez mais sofisticados. Hoje em dia, qualquer computador tem um antivírus com avançado sistema de heurística ativado, um firewall protegendo as portas e, no caso de usuários mais paranoicos, um antispyware para compor o trio de segurança. Assim, qualquer programador que pretenda invadir um sistema tem de ser mais do que inteligente para escrever o código do seu malware. Ele tem que ser criativo!
É o caso do trojan Backdoor.Makadoc. Usualmente, um trojan, após entrar no computador da vítima, recebe comandos de um servidor externo, controlado pelo próprio autor do malware. Tal servidor é chamado de C&C (Command and Control). Porém, os firewalls acompanharam o passo evolutivo dos sistemas de segurança e, com o tempo, aprenderam a lidar com servidores mal-intencionados. Desta forma, se o Backdoor.Makadoc tentasse se comunicar com o seu servidor C&C, ele seria facilmente barrado pelo firewall. Qual a solução encontrada pelo desenvolvedor do trojan? Se conectar ao Google Docs, claro!
A suíte de produtividade da Gigante de Mountain View, como era esperado, usa criptografia para todo documento e troca de dados que é efetuada entre seus servidores, com o protocolo HTTPS. Além do mais, cada vez mais as empresas estão optando pelo Google Docs, em detrimento da famosa suíte de escritório Microsoft Office. Desta forma, as chances dos servidores do Google estarem na lista de exceções dos firewalls corporativos é bem grande. Assim, ao usar os servidores do Google Docs como um proxy para o servidor C&C, que passaria os comandos para o malware, o hacker teria um canal seguro e livre de ruídos para invadir tanto usuários domésticos quanto corporativos, que usualmente carregam informações bastante sensíveis. Bem espero, meu camarada, bem esperto. Tão espero que ele deveria se chamar Backdoor.Malakadoc, ou ainda Backdoor.Maladock. Veja um gráfico explicando a artimanha:
A Symantec, que foi quem descobriu e analisou este cavalo de troia, disse que o uso do Google Docs como um servidor proxy só é possível devido a um recurso do mesmo: o visualizador de arquivos. Você deve saber do que se trata. Quando há uma lista de arquivos, o GDocs possibilita que seja visto um pouco desse documento sem que o navegador faça o download dele. Isso claramente viola as diretrizes do Google quanto ao uso de sua suíte de produtividade. Segundo a companhia de segurança, o trojan Backdoor.Makadoc vem sendo distribuído como um arquivo de texto *.RTF ou do Word (*.doc e *.docx). Mas mesmo que você o baixe, é preciso executá-lo para que o infeliz entre em ação. E usando um pouco de engenharia social, o malandro sempre usa títulos e descrições chamativos no falso documento.
Outra coisa que chama a atenção é que parece que este malware foi desenvolvido tendo em mente usuários brasileiros. Trechos do código estão em português. Veja só:
Ainda consoante a Symantec, o trojan afeta praticamente todas as versões do Windows, desde o 95 até o mais recente, o 8. O curioso é que ele foi desenvolvido antes do lançamento do Windows 8, mas foi atualizado também para este sistema. Depois dizem que os desenvolvedores não foram adeptos ao novo sistema da Microsoft. =P Se você não usa o Google Docs, pode ficar despreocupado. Está fora de riscos. Mas se usa, vale as dicas de segurança tradicionais: mantenha seu antivírus atualizado e não execute nenhum arquivo de estranhos ou que seja suspeito. Boa sorte. :)
Com informações: Security Response Blog
