Hackers utilizan borradores de Gmail para lanzar ataques

0

Robo de informacin en Gmail

Se ha descubierto una técnica desconocida hasta ahora, que permite a cualquiera robar información personal a través de borradores de Gmail. Esta técnica ya fué usada por un general norteamericano que tenía una aventura extra-matrimonial.

Los hackers descubren un truco nuevo

Ahora los amigos de lo ajeno están poniendo en práctica el mismo método. Solo que en vez de enviar cartas de amor, las adornan con malware destinado a robar información personal de la víctima.

Ya en Agosto, los investigadores de la compañía de software antivirus G Data descubrieron un malware que llevaba funcionando en la sombra nada menos que desde 2012.

Win32.Trojan.IcoScript.A

Es el nombre que le dieron al citado malware, que es un RAT (Remote Access Tool) que particularmente se beneficia de los sistemas de webmail para comunicarse con su Servidor C&C o Servidor de Control.

Se comprobó que en un principio solo operaba en Yahoo Mail, pero también se sabía que el malware podría abusar fácilmente de sistemas como Facebook, LinkedIn o Gmail. Ahora, se acaba de descubrir que una evolución de este RAT permite que Internet Explorer abra múltiples ventanas “invisibles” (para nosotros) y que actúan como base de operaciones para que el malware recoja nuestros datos personales.

Un investigador llamado Williamson Shape afirma que la nueva versión de este malware, también llamado IcoScript y que lleva infectando máquinas desde 2012, ha conseguido volverse más indetectable tomando ventaja del servicio de Gmail.

No son ataques en masa

Aunque no se tienen datos fiables sobre el índice de expansión de la amenaza, aunque dada su naturaleza (exfiltración de datos) no se toma como un ataque masivo e indiscriminado, sino como algo más cercano a un ataque dirigido.

El experto afirma que no hay una forma sencilla de saber si estamos afectados por esta amenaza de pérdida de información, al menos sin bloquear Gmail. Se cree que el mecanismo de la plataforma Gmail es demasiado “blando” con los intentos de malware automatizado que azotan la red. Google por supuesto lo niega.

Windows Component Object Model (COM)

Sabemos también que un aliado impresncindible para este Win32.Trojan.IcoScript.A es la tecnología de administración de objetos COM de Microsoft. En concreto es el manejo de eventos COM asociado a Internet Explorer el que permite la aparición de ventanas secundarias que el usuario no llegará nunca a visualizar. Pero estas ventanas estarán ahí haciendo de las suyas: abriendo cuentas, ejecutando archivos, marcando casillas de verificación y conectando con webs específicas, entre otros.

Internet Explorer podrí estar escuchando tus datos

A continuación podéis ver algunas ventajas que el malware puede obtener al explotar COM, que pueden controlar IE, manipulando el navegador que el usuario legítimo está utilizando:

  • La comunicación HTTP está realizada por el proceso de usuario iexplore.exe (no llamado por el malware en si mismo)
  • Si la red o equipo de destino usa un proxy (con autentificación) el malware puede reutilizar el token del proxy almacenado en la sesión del usuario. Los desarrolladores de malware no tienen que preocuparse sobre la configuración proxy en ningún caso.
  • El análisis por ingeniería inversa es complicado: este malware no deja rastros en forma de actividad de red o uso de sockets.
  • El usuario no nota, habitualmente, la sesión adicional que el navegador está llevando a cabo en segundo plano, de forma oculta.
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR