价值数十亿美元的黑客团伙正在使用谷歌服务控制其银行恶意软件

卡巴纳克；有史以来最成功的网络犯罪团伙之一，以2015年从30个国家的100多家银行盗窃10亿美元而闻名；砰的一声回来了！

Carbanak网络团伙被发现滥用各种谷歌服务，发布命令和控制（C&C）通信，以监控毫无戒备的恶意软件受害者的机器。

Forcepoint安全实验室的研究人员周二表示，在调查以RTF附件形式发送的网络钓鱼消息中的一个活跃漏洞时，他们发现Carbanak集团一直通过使用谷歌服务进行命令和控制而隐藏在普通网站中。

Forcepoint的高级安全研究员尼古拉斯·格里芬（Nicholas Griffin）在一篇博客文章中说：“卡巴纳克行动人员继续寻找隐身技术来逃避侦查”。C渠道可能比使用新创建的域或没有声誉的域更成功”。

RTF文档具有一个嵌入的OLE对象，该对象包含一个VBScript（Visual Basic脚本），该脚本以前与Carbanak恶意软件，并利用社会工程诱骗受害者点击信封图像“解锁内容”
事实证明，信封图像实际上隐藏了嵌入的OLE对象，因此只要受害者双击该图片，就会打开一个对话框，询问受害者是否希望在不受保护的情况下运行该文件。

如果受害者运行该文件，Carbanak的VBScript恶意软件将被执行，根据Forcepoint，该恶意软件将“向谷歌应用程序脚本、谷歌工作表和谷歌表单服务发送和接收命令"。

除了VBScript恶意软件之外，Forcepoint研究人员还发现了一个新的“ggldr”脚本模块，它与其他各种VBScript模块一起编码在主VBScript文件中，能够将Google services用作命令和控制通道。

Griffin说，“Glgldr”脚本将向谷歌应用程序脚本、谷歌表单和谷歌表单服务发送和接收命令”，“为每个感染用户动态创建一个独特的谷歌表单电子表格来管理每个受害者”。

“使用这样一个合法的第三方服务，攻击者可以隐藏在显而易见的地方。这些托管的谷歌服务不太可能在组织中被默认阻止，因此攻击者更有可能成功建立C&C通道”。

Forcepoint研究人员估计，黑客组织很可能正在使用谷歌服务，因为许多公司和组织默认允许使用这些服务，这使得黑客更容易过滤数据和发送指令。

Carbanak，也称为Anunak，是世界上最成功的网络犯罪行动之一，是一个高度组织化的组织，不断发展其策略，以实施网络犯罪，同时避免潜在目标和当局的发现。

该组织于2015年首次被揭露为以金融机构为主要目标的出于财务动机的网络罪犯。自2013年开始运营以来，Carbanak已经从全球100多家银行窃取了超过10亿美元。

Forcepoint已经将此事通知了谷歌，谷歌的研究人员正在与这家网络技术巨头合作，解决这一滥用其合法网络服务的问题。