Un malware utilise Evernote comme serveur de contrôle d’un botnet !

1
113
Evernote

Des cybercriminels utilisent le service populaire de prise de notes Evernote en tant que serveur de commande et de contrôle pour donner des ordres à des malwares installés sur des ordinateurs infectés pour former un réseau de zombies.

TrendMicro a découvert un malware détecté comme “BKDR_VERNOT.A” qui, une fois exécuté  essaie de communiquer avec un serveur de commande et de contrôle (C&C server) à l’aide du service Evernote. Plutôt originale comme utilisation vous ne trouvez pas ?

Le malware se compose d’un fichier exécutable qui installe une bibliothèque de liens dynamiques (DLL) au sein de l’OS Windows. Le programme d’installation injecte ensuite la DLL dans un processus légitime en marche, se protégeant ainsi d’une éventuelle détection. Une fois installé, BKDR_VERNOT.A peut effectuer plusieurs commandes en relation avec un trojan/backdoor telles que le téléchargement, l’exécution et le renommage de fichiers. Il rassemble ensuite les informations du système infecté, y compris des détails sur son système d’exploitation, le nom d’utilisateur, le fuseau horaire, le nom de l’ordinateur, le propriétaire inscrit et l’organisation.

evernote-malware-c&c_1

Les chercheurs ont également souligné que la porte dérobée peut-être également utiliser Evernote en tant que récéptacle pour télécharger les données volées. “Malheureusement, lors de nos tests, il n’a pas pu se connecter en utilisant les informations d’identification intégrées dans le programme malveillant. C’est peut-être une mesure de sécurité imposée par Evernote après le récent piratage.”

Ce malware a t-il un lien avec ce piratage d’envergure d’Evernote ayant eu lieu quelques semaines plus tôt ? Aucune informations sur cette intérrogation. Néanmoins, on pourrait très bien imaginer que les pirates ont intégré au sein du malware plusieurs identifiants utilisateur d’Evernote dérobés lors de l’intrusion…

Bien que ce soit une manœuvre habile pour éviter la détection, ce n’est pas la première fois qu’un service légitime comme Evernote est utilisé comme une méthode d’évasion.

Comme Evernote, Google Docs, Twitter, PasteBin et bien d’autres services ont déjà été utilisés à des fins malveillantes dans le passé.

Les commentaires sont fermés.