Новая версия трояна RogueRobin управляется через Google Диск

Опубликовано at 14:59
268 0

Специалисты по кибербезопасности из 360 Threat Intelligence Center и Palo Alto Networks обнаружили новую вредоносную кампанию хакерской группы DarkHydrus, использующую против целей на Ближнем востоке обновленную вариацию трояна RogueRobin.

Кампания стартовала 9 января 2019 года, хакеры используют документы Microsoft Excel, содержащие вредоносный код VBA (маркросы). Так как работа макросов в Microsoft Office давно отключена по умолчанию, атакующие используют хитрость и социальную инженерию, вынуждая своих жертв разрешить их работу вручную. После этого загружается файл .txt, а затем легитимный regsvr32.exe используется для его запуска. В конечном итоге в систему проникает троян RogueRobin, написанный на C#.

Любопытно, что в качестве альтернативного канала коммуникаций RogueRobin может использовать API Google Drive, для этого он загружает на гугл-диск специальный файл и постоянно проверяет время внесения последних изменений, чтобы обнаружить, когда операторы внесут в файл коррективы, которые малварь будет воспринимать как команды. По умолчанию этот способ связи через команду x_mode отключен, однако его можно включить через канал туннелирования DNS – основной канал связи трояна с C&C-сервером.

Подписываемся, следим @CyberAgency

Related Post

Госдума дебютировала в социальных сетях

Опубликовано - 28.04.2017 0
27 апреля, в День российского парламентаризма, начали свою работу официальные аккаунты нижней палаты в социальных сетях — «Вконтакте», Instagram, Одноклассники, Twitter, Facebook, Telegram. «Это общий тренд…

Добавить комментарий