360 Threat Intelligence Center (360TIC) และ Palo Alto Networks ได้เผยแพร่รายงานเกี่ยวกับมัลแวร์โดยใช้ API ของ Google Drive เป็นตัวส่งข้อมูล และรับคำสั่งจากแฮกเกอร์
จากการตรวจสอบของนักวิจัยพบว่าการโจมตีนี้เกี่ยวข้องกับกลุ่ม DarkHydrus ซึ่งจะใช้เครื่องมือ Phishery tool ทำการเก็บข้อมูลหน่วยงานรัฐบาล และสถานศึกษาในตะวันออกกลาง
โดยการโจมตีในครั้งนี้ได้ใช้โทรจันที่ชื่อว่า “RogueRobin” โดยหลอกให้เหยื่อเปิดไฟล์ไมโครซอฟต์เอ็กเซลที่มีมาโคร VBA เมื่อมาโครวางไฟล์ text (.txt) ลงในโฟลเดอร์ temp จากนั้นจะรันแอพพลิเคชั่น
“regsvr32.exe” ทำการติดตั้ง “RogueRobin” ซึ่งเป็นโปรแกรมที่เขียนโดยเป็นภาษา C# บนระบบของเหยื่อ “RogueRobin” จะอัพโหลดไฟล์ลงบัญชี Google Drive โดยใช้วิธี DNS tunnel
จากการวิเคราะห์ของ Palo Alto พบว่า “RogueRobin” มีฟังก์ชันที่หลากหลายเพื่อใช้ในการตรวจสอบว่ามันดำเนินการใน sandbox environment รวมไปถึงการเช็ค virtualized environments, หน่วยความจำต่ำ, จำนวนการประมวลผล และเครื่องมือที่ใช้ในการวิเคราะห์อื่นๆ เพื่อทำการรันบนระบบ
สำหรับวิธีการป้องกัน แนะนำให้ผู้ใช้ปิดการใช้งาน macro บน office และอย่าเปิดเอกสารจากแหล่งที่ไม่น่าเชื่อถือ
ที่มา: The Hacker News
