臭名昭着的黑客组织 Carbanak 不断寻求“隐身”技术来逃避侦测，近日安全公司 Forcepoint 发现，黑客组织使用武器化的 RTF 格式文档传播恶意软件并利用 Google 服务来进行 C&C 通信隐藏通信流量，减少被发现的几率。

该恶意软件归属于黑客组织 Carbanak （也称为 Anunak ）。此前黑客组织 Carbanak 在 2015 年利用该软件从全球 30 个国家 100 多家的金融机构窃取了 10 亿美元。

Forcepoint 安全实验室发现，犯罪团伙以钓鱼邮件形式将恶意软件隐藏在 RTF 附件中。该文档中嵌入了一个 OLE 对象，其中包含此前恶意软件 Carbanak 的 Visual Basic 脚本（ VBScript ）。当用户打开文档时，他们将看到一个图像，该图像旨在隐藏文件中嵌入的 OLE 对象，并诱使受害者双击打开它。

越来越多的 *** 罪犯开始使用 Microsoft Office 的 OLE 对象嵌入功能来隐藏恶意软件，而不是现在烂大街的宏功能。

研究人员还发现了一个“ ggldr ”脚本模块，该脚本会通过 Google Apps 脚本、 Google Sheets spreadsheet 和 Google Forms 服务发送和接收命令。对于每个受感染的用户，系统都会动态创建一个唯一的 Google Sheets spreadsheet，以便管理每个受害者。首先恶意软件使用感染用户的唯一 ID 与硬编码的 Google Apps 脚本网址进行通信联系，C＆C 会回应不存在该用户信息。接下来，恶意软件会向另一个硬编码的 Google Forms 网址发送两个请求，为受害者创建唯一的 Google Sheets spreadsheet 和 Google Forms ID 。下次请求 Google Apps 脚本时，C＆C 会回应这些详细信息。

由于很多企业机构都使用 Google 服务，所以一般都不会拦截合法的 Google 流量，从而大大增加攻击者成功建立 C＆C 通信渠道的可能性。

稿源：HackerNews.cc 翻译整理，封面：securityaffairs
转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。