Trend Micro: Вредоносное ПО использует Evernote в качестве C&C сервера

ИБ-эксперты компании Trend Micro обнаружили вредоносное ПО, которое использует онлайн-сервис Evernote, предназначенный для сохранения, синхронизации и поиска заметок, в качестве C&C сервера.

Вирус является бэкдором, используемым злоумышленниками для выполнения ряда действий на взломанном компьютере. В ходе исследования оказалось, что вредоносное ПО использует Evernote для получения новых команд.

Сотрудник Trend Micro Никко Тамана (Nikko Tamana) заявил , что бэкдор также использует сервис в качестве временного хранилища для похищенной информации.

По словам экспертов по безопасности, одной из причин использования Evernote является то, что авторы вредоносного ПО запутывают следы для усложнения процесса отслеживания первоисточников.

«Использование Evernote является идеальным методом скрывания следов создания ботнетов, а также предотвращения их обнаружения ИБ-экспертами», - подчеркнул Тамана.

Вредоносное ПО, которое специалисты Trend Micro идентифицируют как «BKDR_VERNOT.A», доставляется на компьютеры пользователей через исполняемый файл и размещает вредоносный код в виде динамической библиотеки.

Как только бэкдор оказывается на машине, он начинает сбор данных об используемой системе, после чего подключается к специально созданному аккаунту Evernote, откуда операторы раздают дальнейшие команды для работы ПО. Например, здесь размещаются технические данные, которые интерпретирует код.

Напомним, что в начале марта киберпреступники получили доступ к именам пользователей, имеющих учетные записи в Evernote, а также к адресам электронной почты и зашифрованным паролям.