Gli autori di malware stanno mettendo nel mirino Windows 8, il nuovo sistema operativo di casa Microsoft. Symantec ha pubblicato un post sul proprio blog in cui parla di Backdoor.Makadocs, una variante di un trojan che si diffonde tramite documento Rich Text Format (RTF) o Microsoft Word e che è in grado di capire se si trova su Windows 8 e Windows Server 2012 oppure no.
"Inizialmente pensavo fosse solo un semplice e trojan horse con una back door. Riceve ed esegue comandi da un server command-and-control (C&C) e ottiene informazioni da un computer compromesso includendo il nome dell'host e il sistema operativo. L'aspetto interessante è che l'autore del malware ha considerato la possibilità che il PC compromesso abbia Windows 8 o Windows Server 2012", ha scritto il ricercatore Takashi Katsuki.
"Questo malware non usa nessuna funzione specifica di Windows 8 e sappiamo che esisteva da prima del debutto del sistema. Basandoci su questi fatti, crediamo che questo codice debba essere un aggiornamento del malware", sottolinea Symantec.
L'altro elemento di novità è che contrariamente alle precedenti versioni, Makadocs non si connetterebbe direttamente a un server C&C, ma piuttosto sfrutta i documenti Google (Google Docs) come un server proxy. Secondo Symantec "i documenti Google hanno una funzione chiamata Viewer che recupera le risorse da un altro indirizzo e le visualizza. Di fondo questa funzione permette a un utente di vedere diversi tipi di file nel browser. In violazione con le policy di Google, Backdoor.Makadocs usa questa caratteristica per accedere al suo server C&C".
Secondo il ricercatore Takashi Katsuki, l'autore del malware potrebbe aver implementato questa funzione nel tentativo di mascherare una connessione diretta al C&C. Il collegamento al server di Google è codificato usando HTTPS, perciò rende più difficile bloccarlo localmente. Per Google sarebbe possibile impedire questa connessione usando un firewall.
Il malware collegato a un documento RTF o Word è rilevato dai software Symantec con il nome "Trojan.Dropper". "Il documento non usa alcuna vulnerabilità al fine di sganciare la sua componente maligna, ma si basa su tecniche di social engineering. Cerca di catturare l'interesse dell'utente tramite il titolo e il contenuto del documento, portandolo a cliccare ed eseguirlo", conclude il ricercatore di Symantec.
Katsuki ritiene che il malware sia rivolto in primo luogo al Brasile, almeno osservando il codice. Google, interpellata dal sito The Next Web, ha dichiarato che indagherà e interverrà se riscontrerà un abuso dei propri servizi.