La startup Shape Security anuncia haber encontrado un sistema por el cual los hackers están enviando y recibiendo información obtenida a partir de piezas de malware y, todo ello, manteniéndose escondidos sin posibilidad de que el cliente de correo electrónico de Google, Gmail, pueda detectar anomalías.

Wade Williamson, investigador de la startup Shape Security, ha comentado que este sistema está completamente permitido por Gmail, dado que se desconocía hasta la fecha, y permite a los hackers que se comuniquen de forma “sigilosa”, sin que pueda ser detectada la información que comparten con otros “clientes” y que, con este método, han extraído de algún ordenador infectado. Lo que están haciendo, básicamente, es compartir información sobre malware, y obtenida a partir de estas piezas de software maliciosas, con clientes a quienes les venden esta información, así como con sus propios ordenadores -bajo este “protocolo”-. Ahora bien, lo están haciendo a través de los borradores de Gmail, sin llegar a enviar, ni recibir, ningún correo electrónico.

Según han señalado, con mayor detalle, los investigadores de la startup Shape Security, “este tipo de intercambios de información son realmente difíciles de identificar”, y es que “en ningún caso se envían / reciben mensajes de correo electrónico, sino que se hace sigilosamente a través de los borradores”. Concretamente, el procedimiento que se lleva a cabo es iniciado por el hacker, que configura una cuenta de Gmail desde el anonimato y, con su malware, infecta un ordenador de la “red de víctimas”. Una vez consiguen acceso al ordenador infectado, el hacker abre su cuenta Gmail desde una instancia oculta de Internet Explorer. Así, el usuario infectado no es consciente, en ningún momento, de que se está utilizando esta cuenta de Gmail en su ordenador de forma remota y sin su consentimiento.

A partir de aquí, la carpeta de borradores de Gmail se mantiene abierta y oculta, con el malware programado para ejecutar una secuencia de comandos de Python. En todo momento, la comunicación se mantiene cifrada para evitar ser descubiertos, así como para prevenir que se puedan filtrar los datos. Sin duda, un recurso más “preocupante” que los protocolos HTTP e IRC que habitualmente utilizan los hackers para controlar su malware de forma sigilosa.

Fuente: Wired

http://www.adslzone.net/2014/10/29/borradores-de-gmail-o-como-un-hacker-controla-su-malware-sigilosamente/