Google协作平台中出现恶意软件，用于窃取他人敏感信息

安全研究人员在Google协作平台上发现了用于构建网站的恶意软件。这个恶意软件是一个窃取信息的下载器，它将数据发送到由攻击者控制的MySQL服务器。

Google协作平台（Google Sites）是Google用来取代Google Page Creator的一款基于Wiki的在线网站制作系统，为Google Apps的一部分，其目标是任何人都能够创建一个团队为导向的网站，其中多人可以协作和共享文件。——百度百科

该恶意软件名为LoadPCBanker，是一个会伪装成PDF文件的可执行文件，看起来就像保存了酒店预订信息的文件，存储在 Google协作平台的文件柜存储空间中。

文件柜（the File Cabinet）

文件柜模板允许你创建一个“存储”，可存放文档，图像，pdf，演示文稿等任何电子文件。 你可以将文档从硬盘上传到你的网站，并将其整理到“存储”中。简单来说，文件柜可管理你的所有文件。 你可以：

• 从你的计算机添加文件
• 从Web网站中添加文件
• 为每个主页面都创建一个文件柜
• 隐藏文件柜 - 显示在页面底部的站点导航中
• 将文件柜中项目连接到网页超链接

——Google Sites File Cabinet

研究人员提取到的PDF名称是“PDF Reservations Details MANOEL CARVALHO hospedagem familiar detalhes PDF.exe”，这表示网络犯罪分子针对的是英语或葡萄牙语的受害者。Netskope的研究人员于4月12日报告了托管该恶意软件的相关Google网站。但是，在撰写本文时恶意软件依然存在，还可以下载。

如果使用VirusTotal扫描它 ，会看到66个防病毒引擎中有47个能检测到它。“黑客使用著名的谷歌协作平台来创建一个网站，然后使用文件柜上传payload，最后将生成的URL发送给潜在目标，”Netskope在与BleepingComputer分享的报告中说。

启动时，伪造的PDF文件会创建一个文件夹，并从文件托管网站KingHost下载payload：libmySQL50.DLL，otlook.exe和cliente.dll。显然，Otlook.exe这个名字是为了模仿Microsoft的Outlook电子邮件客户端，这是一个信息窃取程序，可以截取屏幕截图，记录保存在剪贴板中的数据，以及记录按键信息。它还会充当某个文件的下载器，不断接收被盗取的SQL数据库的凭据及其连接详细信息。借助恶意DLL组件可以对数据进行提取，这个DLL组件是一个用于与数据库服务器进行连接的库。

研究人员所捕获的数据库中有两个可用的表：一个包含有关受感染计算机的信息，另一个包含被窃取的剪贴板数据。

“在我们的分析过程中，我们发现黑客特别感兴趣某些特定的机器，尝试捕获受害者的电脑屏幕截图。我们之所以得出这个结论是因为我们注意到有很多机器受到感染，但是只有少数会被攻击者主动监控。在撰写本文时，黑客正在主动控制20台受感染的主机。“研究人员认为，自2014年初以来，此类恶意软件一直存在。而从2019年2月以来一直很活跃。目前还不清楚这些攻击的幕后主使是否是同一个人，也暂未发现其他网络犯罪分子使用类似的恶意代码。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.bleepingcomputer.com/news/security/malware-hosted-in-google-sites-sends-data-to-mysql-server/