Cybercriminelen gebruiken de versleuteling van Google Docs om de communicatie met besmette computers te verbergen en detectie door getroffen organisaties en personen te voorkomen. Beveiligingsbedrijf FireEye ontdekte een gerichte aanval waarbij er een vermoedelijk gestolen document als afleiding werd gebruikt. De inhoud van het document wil FireEye dan ook niet onthullen.

Wel zou het document over verschillende Aziatische landen gaan, waaronder Vietnam, Thailand, Cambodja, Indonesie en de Filipijnen. Het document dat de slachtoffers kregen toegestuurd maakt misbruik van een bekend Word-lek uit 2012. Zodra het slachtoffer het document met een ongepatcht Word-versie opent, wordt er een afleidingsdocument gemaakt en de Seinup-malware geïnstalleerd.

Detectie
Seinup, vernoemt naar een functie in de code, maakt via Google Docs verbinding met de kwaadaardige server van de aanvallers. Hierdoor wordt het verkeer tussen de server en besmette computer versleuteld via de SSL-versleuteling van Google Docs. Dit voorkomt dat bedrijven de inhoud van het verkeer kunnen bekijken, tenzij ze over een hardware SSL decrypter beschikken.

Volgens FireEye zou het echter ook mogelijk zijn om aan de hand van de logbestanden verdachte verbindingen naar Google Docs te detecteren. Naast Google Docs versleutelt de malware zichzelf op de harde schijf of gebruikt die compressie om zo detectie te voorkomen. De code wordt pas volledig actief als die in het geheugen geladen is.