Onderzoekers hebben voor het eerst bij een gerichte aanval malware ontdekt die Dropbox gebruikt voor het downloaden van configuratiegegevens. De malware werd tegen een Taiwanese overheidsorganisatie ingezet. Eenmaal actief op een computer downloadde het een bestand via Dropbox.

Het bestand bevatte de details van de Command & Control-server, waar de criminelen achter de malware de besmette computers mee aansturen. Door het gebruik van Dropbox zou het kwaadaardige verkeer worden gemaskeerd, omdat Dropbox een legitieme website voor de opslag van documenten is en daardoor niet meteen in een analyse van het netwerkverkeer opvalt. Daarnaast beschikte de malware over een activatiedatum.

Pas na een aantal dagen werd de code op een systeem actief. "Dit is waarschijnlijk gedaan zodat gebruikers niet direct kwaadaardige activiteiten op hun systeem vermoeden", aldus de onderzoekers van Trend Micro. Die stellen dat door het gebruik van clouddiensten door cybercriminelen het verstandig is voor bedrijven en organisaties om de toegang tot deze diensten te blokkeren als er geen zakelijke behoefte is.

Daarnaast moet ook het netwerkverkeer naar dit soort clouddiensten worden gemonitord, zoals het moment van de dag, welke apparaten er verbinding maken en de frequentie. "In het tijdperk van cloudcomputing, houdt het 'verkleinen van het aanvalsoppervlak' in om de toegang tot ongebruikte en ongeautoriseerde diensten te beperken", besluit onderzoeker Chris Boyd.