Зловмисники використовували дану програму в ході атак, націлених на урядові організації.

Дослідники безпеки компанииTrend Micro виявили новий вид шкідливої програми, яка викрадає інформацію і відправляє її зі скомпрометованих комп'ютерів на хмарний сервіс Google Drive. Цілком імовірно, що дана програма була використана зловмисниками в ході атак на урядові організації.

Шкідлива програма, що отримав найменування Drigo, завантажував всі файли Excel, Word, PDF, Powerpoint, а також текстові документи і навіть вміст кошика з інфікованого комп'ютера і відправляв викрадені дані в хмарне сховище. Для здійснення цієї операції програма використовувала секретні ключі додатки client_id і client_secret, а також маркер оновлення (refresh token).

Як пояснює аналітик Trend Micro Кервин Алинтанахин (Kervin Alintanahin), маркери оновлення є частиною протоколу OAuth 2. 0, використовуваного Google Drive. Цей протокол, що дозволяє реалізувати безпечну аутентифікацію користувачів, надає можливість користувачам Twitter і Facebook отримати доступ зі своїх облікових записів на інші веб-сайти.

Експертам вдалося отримати доступ до облікового запису Google Drive і поглянути на інформацію, яка там зберігалася. Назви файлів дозволили припустити, що зловмисники атакували здебільшого урядові організації.

Фахівці вважають, що Drigo була розроблена в основному для розвідувальних цілей.

Алинтанахин повідомив керівництво Google про нецільове використання облікового запису хмарного сервісу, і на поточний момент акаунт вже, швидше за все, деактивовано. Однак ця міра навряд чи виявиться дієвою, враховуючи, що шкідлива програма може самообновляться допомогою регулярного завантаження файлів. Таким чином, для зберігання викраденої інформації злочинцям потрібно всього лише створити новий обліковий запис в Google Drive.