พบมัลแวร์ตัวใหม่ใช้ Google Drive เป็นเซิร์ฟเวอร์ command-and-control

360 Threat Intelligence Center (360TIC) และ Palo Alto Networks ได้เผยแพร่รายงานเกี่ยวกับมัลแวร์โดยใช้ API ของ Google Drive เป็นตัวส่งข้อมูล และรับคำสั่งจากแฮกเกอร์

จากการตรวจสอบของนักวิจัยพบว่าการโจมตีนี้เกี่ยวข้องกับกลุ่ม DarkHydrus ซึ่งจะใช้เครื่องมือ Phishery tool ทำการเก็บข้อมูลหน่วยงานรัฐบาล และสถานศึกษาในตะวันออกกลาง

โดยการโจมตีในครั้งนี้ได้ใช้โทรจันที่ชื่อว่า “RogueRobin” โดยหลอกให้เหยื่อเปิดไฟล์ไมโครซอฟต์เอ็กเซลที่มีมาโคร VBA เมื่อมาโครวางไฟล์ text (.txt) ลงในโฟลเดอร์ temp จากนั้นจะรันแอพพลิเคชั่น

“regsvr32.exe” ทำการติดตั้ง “RogueRobin” ซึ่งเป็นโปรแกรมที่เขียนโดยเป็นภาษา C# บนระบบของเหยื่อ “RogueRobin” จะอัพโหลดไฟล์ลงบัญชี Google Drive โดยใช้วิธี DNS tunnel

ที่มาภาพ: The Hacker News

จากการวิเคราะห์ของ Palo Alto พบว่า “RogueRobin” มีฟังก์ชันที่หลากหลายเพื่อใช้ในการตรวจสอบว่ามันดำเนินการใน sandbox environment รวมไปถึงการเช็ค virtualized environments, หน่วยความจำต่ำ, จำนวนการประมวลผล และเครื่องมือที่ใช้ในการวิเคราะห์อื่นๆ เพื่อทำการรันบนระบบ

สำหรับวิธีการป้องกัน แนะนำให้ผู้ใช้ปิดการใช้งาน macro บน office และอย่าเปิดเอกสารจากแหล่งที่ไม่น่าเชื่อถือ

ที่มา: The Hacker News