后门木马从Evernote帐户获取命令

趋势科技研究人员最近分析了与不寻常的命令和控制中心联系的后门特洛伊木马。–Evernote帐户。

后门– dubbed Vernot –可以执行这种类型的所有常规操作:它收集系统信息并将其发送到远程服务器(甚至可能发送到从中获取命令的同一Evernote帐户),并可以下载,执行和重命名文件。

信息是否在帐户中丢失’由于嵌入在中的登录凭据不再有效,因此无法验证–可能是因为Evernote在执行以下操作后重置了服务范围的密码 最近违反.

“因为隐身是游戏的名称,所以滥用诸如Evernote之类的合法服务是掩盖坏人的完美方法’跟踪并阻止安全研究人员所做的努力。由于BKDR_VERNOT.A会生成合法的网络流量,因此大多数反产品可能不会轻易将这种行为检测为恶意行为,” the researchers 指出. “这不仅使普通的互联网用户感到不安,而且对于使用员工使用Evernote之类的员工的组织而言,也可能是令人头疼的新闻。”

这不是第一次将流行的在线服务用作与其C语言进行通信的方式&C servers –Google Docs,Sendspace,Twitter和其他文件过去曾被滥用。

分享这个