Malware RogueRobin utiliza la API de Google Drive como canal de distribución

0 0 martes, 22 de enero de 2019



Se ha descubierto una nueva oleada de ataques de malware vinculada al conocido grupo DarkHydrus APT, el cual está haciendo uso de la API de Google Drive como servidor de comando y control.

DarkHydrus, salió a la luz por primera vez en agosto del año pasado cuando el grupo APT estaba aprovechando la herramienta de Phishery de código abierto, para llevar a cabo una campaña de obtención de credenciales contra entidades gubernamentales e instituciones educativas en el Medio Oriente.

El nuevo backdoor, llamado RogueRobin, infecta las computadoras de las víctimas, las cuales deben abrir un documento de Microsoft Excel que contiene macros VBA (Visual Basic para aplicaciones) incrustadas. Al habilitar las macros, se libera un archivo de texto malicioso (.txt) en el directorio temporal y luego toma control legítimo de la aplicación 'regsvr32.exe' para ejecutarlo, finalmente se instala el backdoor RogueRobin escrito en C# (lenguaje de programación) en el sistema comprometido.

Al igual que la versión original, esta nueva variante de RogueRobin también utiliza la tunelización de DNS, una técnica de envío o recuperación de datos y comandos a través de paquetes de consulta de DNS, para comunicarse con su servidor de comando y control. El malware también ha sido diseñado para utilizar las API de Google Drive, como canal alternativo para enviar datos y recibir comandos de los hackers.

El backdoor carga un archivo en la cuenta de Google Drive y verifica continuamente, si la víctima ha realizado algún cambio en él, está al modificar el archivo genera un ID (identificador único) que el troyano toma para utilizar en futuras comunicaciones. 

Los expertos señalan que la nueva campaña de malware, demuestra que los grupos APT están cambiando la forma de realizar sus ataques, por medio del abuso de servicios legítimos e infraestructura como Drive, con el fin de no ser detectados.

Debe tenerse en cuenta que, dado que las macros de VBA son una característica legítima, la mayoría de las soluciones de antivirus no alertan ni bloquean los documentos de MS Office con el código de VBA.


Etiquetas:

COMPARTIR:

Twitter Facebook Google Pinterest

COMENTARIOS

BLOGGER
Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Malware RogueRobin utiliza la API de Google Drive como canal de distribución
Malware RogueRobin utiliza la API de Google Drive como canal de distribución
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiz3B__Y7x-UYNbrD5Ufv6J5368jzvyGhSJgEeeXlyOeKw_40bvTvEdQaXINbaBfmHR25PVDe1PAekgMrhbcb_sNEwR5SmTweOy7srmXQh3cq2DxbtFt3OQkwAkZHx5aoKFY6uHHhQFBOg/s640/RogueRobin.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiz3B__Y7x-UYNbrD5Ufv6J5368jzvyGhSJgEeeXlyOeKw_40bvTvEdQaXINbaBfmHR25PVDe1PAekgMrhbcb_sNEwR5SmTweOy7srmXQh3cq2DxbtFt3OQkwAkZHx5aoKFY6uHHhQFBOg/s72-c/RogueRobin.jpg
Arkavia Networks News
https://www.arkalabs.cl/2019/01/malware-roguerobin-utiliza-la-api-de.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2019/01/malware-roguerobin-utiliza-la-api-de.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy