Borradores de Gmail, o cómo un hacker controla su malware sigilosamente

Borradores de Gmail, o cómo un hacker controla su malware sigilosamente

Carlos González

La startup Shape Security anuncia haber encontrado un sistema por el cual los hackers están enviando y recibiendo información obtenida a partir de piezas de malware y, todo ello, manteniéndose escondidos sin posibilidad de que el cliente de correo electrónico de Google, Gmail, pueda detectar anomalías.

Wade Williamson, investigador de la startup Shape Security, ha comentado que este sistema está completamente permitido por Gmail, dado que se desconocía hasta la fecha, y permite a los hackers que se comuniquen de forma «sigilosa», sin que pueda ser detectada la información que comparten con otros «clientes» y que, con este método, han extraído de algún ordenador infectado. Lo que están haciendo, básicamente, es compartir información sobre malware, y obtenida a partir de estas piezas de software maliciosas, con clientes a quienes les venden esta información, así como con sus propios ordenadores -bajo este «protocolo»-. Ahora bien, lo están haciendo a través de los borradores de Gmail, sin llegar a enviar, ni recibir, ningún correo electrónico.

Según han señalado, con mayor detalle, los investigadores de la startup Shape Security, «este tipo de intercambios de información son realmente difíciles de identificar», y es que «en ningún caso se envían / reciben mensajes de correo electrónico, sino que se hace sigilosamente a través de los borradores». Concretamente, el procedimiento que se lleva a cabo por parte del hacker empieza con la configuración de una cuenta de Gmail anónima. Una vez creada la cuenta, se infecta un ordenador de forma remota y, en este, se abre la cuenta de Gmail en una instancia oculta de Internet Explorer, de forma que el usuario del ordenador no puede darse cuenta de que su ordenador está siendo utilizado como «medio de enlace». Así, el usuario infectado no es consciente, en ningún momento, de que se está utilizando esta cuenta de Gmail en su ordenador de forma remota y sin su consentimiento.

cuerpo-gmail-3

A partir de aquí, la carpeta de borradores de Gmail se mantiene abierta y oculta, con el malware programado para ejecutar una secuencia de comandos de Python. En todo momento, la comunicación se mantiene cifrada para evitar ser descubiertos, así como para prevenir que se puedan filtrar los datos. Sin duda, un recurso más «preocupante» que los protocolos HTTP e IRC que habitualmente utilizan los hackers para controlar su malware de forma sigilosa.