Hackers utilizan Evernote como línea de comandos remota

Escrito por Adrián Crespo
Seguridad
0

Hace algunas semanas nos hicimos eco de un problemas que afectó a todos los usuarios de Evernote y que obligó a restaurar las contraseñas del servicio. Expertos en seguridad han detectado que la aplicación de notas está siendo utilizada para comunicarse con ordenadores de usuarios que pertenecen a una botnet y que están  infectados con malware, y así llevar a cabo la ejecución de comandos de forma totalmente remota.

El malware llega hasta el ordenador del usuario vía correo electrónico o contenido, accediendo a esta última por medio de enlaces falsos que son publicados en las redes sociales. El fichero se trata de un .exe que simula ser una aplicación legítima. El malware se encarga de instalar una serie de librerías dinámicas que la ayudarán a no ser detectado y a poder realizar tareas en el sistema.

Una vez que se ha instalado el malware BKDR_VERNOT.A ya puede llevar a cabo tareas de forma remota y ser indetectable a pesar de tener un proceso ejecutándose en segundo plano siempre que el sistema se inicia.

¿Qué sucede si estoy infectado?

Al poder realizar tareas en el sistema, el malware utiliza Evernote como una vía de comunicación con una persona remota. Esta le manda órdenes a través de la aplicación y este se encarga de copiar el contenido de la entrada de la aplicación de notas y ejecutarlo en un línea de comandos.

También han detectado que la aplicación podría ser la vía de comunicación para acceder a información del usuario y así proceder al robo, ya que el malware sólo necesita pegar la información obtenida en una entrada y estará visible para la persona que se encuentra al otro lado.

¿Qué datos pueden verse afectados?

Desde información contenida en ficheros que se encuentren en el disco duro del equipo, hasta contraseñas que son introducidas para acceder a servicios web.

¿Podría ser detectado por los programas antivirus?

No es posible que sea detectado, en parte porque utiliza el proceso de Evernote para poder llevar a cabo las tareas que se le mandan de forma remota. Al haber sido aprobado por el usuario este proceso con anterioridad y ser considerado como legítimo, las acciones que este lleva a cabo no son consideradas como sospechosas y son permitidas.

Podría detectarse de forma manual si acudiendo a la lista de procesos se ve alguno que posea la ristra de caracteres “****_VERNOT.A”, donde los asteriscos hacen referencia a una cabecera que puede cambiar dependiendo del equipo.

Fuente | The Hacker News