Un malware individuato da Trend Micro utilizza il servizio Evernote come sistema per dare istruzioni ai computer infetti. BKDR_VERNOT.A, come è stato battezzato da Trend Micro, è un backdoor (un tipo di software che consente a un utente malintenzionato di eseguire varie azioni su un computer violato) che sfrutta un servizio legittimo, diffuso e molto affidabile come punto nevralgico delle comunicazioni di quella che può diventare una botnet. La comunicazione è a due vie. Come prima cosa, il backdoor si connette al servizio e cerca una nota con un nome particolare. Se la trova, la legge ed esegue le istruzioni contenute. Alla fine, può creare lui stesso una nota con i dati sottratti e inviarla sulla cloud, dove un server raccoglierà le informazioni e le organizzerà per l’hacker che controlla le operazioni.
Evernote è un servizio così utile e ben strutturato che anche gli hacker hanno ben pensato di trarne vantaggio.
" Non è strano per gli hacker progettare malware che vanno a utilizzare servizi legittimi, sia per rendere il malware più difficile da tracciare, sia per dargli un profilo meno sospetto. Già in passato, Twitter e Google Documents sono stati utilizzati dagli hacker per inviare le istruzioni ai loro botnet" ha scritto Nikko Tamana, un ingegnere di Trend Micro Threat Response. "Usare Evernote o altri servizi cloud famosi è il modo perfetto per nascondere le tracce dei malware e ingannare e prevenire gli sforzi fatti dai ricercatori di sicurezza" – conclude Tamana.
Al momento, le credenziali di accesso trovate dentro al malware non sembrano funzionare da quando Trend Micro lo sta mettendo alla prova e questo indica che il sistema potrebbe essere ancora in stato “dormiente”. In pratica, gli hacker aspettano che un malware si diffonda per bene prima di attivarlo, in modo da poter sfruttare al massimo quel lasso di tempo che passa da quando una minaccia viene attivata a quando vengono prese le contromisure. Oppure, più semplicemente, è stata individuata una variante del backdoor che non è in grado di fronteggiare il recente cambiamento avvenuto nelle procedure di sicurezza di Evernote, applicate in conseguenza di un attacco hacker di qualche settimana fa, quando il famoso servizio di note si era visto costretto a reimpostare le password di 50 milioni dei suoi utenti dopo che un hacker aveva ottenuto l'accesso a nomi utente, indirizzi email e password cifrate.