Malware Baru Ditemukan di Google Drive | Nitro Panic - Karena sebagian besar alat keamanan juga mengawasi lalu lintas jaringan untuk mendeteksi alamat IP jahat, penyerang semakin mengadopsi infrastruktur layanan yang sah dalam serangan mereka untuk menyembunyikan kegiatan jahat mereka.
Peneliti Cybersecurity sekarang telah melihat kampanye serangan malware baru yang dikaitkan dengan grup DarkHydrus APT yang terkenal jahat yang menggunakan Google Drive sebagai server perintah-dan-kontrol (C2).
DarkHydrus pertama kali terungkap pada Agustus tahun lalu ketika kelompok APT memanfaatkan alat Phishery open-source untuk melakukan kampanye pemanenan kredensial terhadap entitas pemerintah dan lembaga pendidikan di Timur Tengah.
Kampanye jahat terbaru yang dilakukan oleh kelompok APH DarkHydrus juga diamati terhadap target di Timur Tengah, menurut laporan yang diterbitkan oleh 360 Threat Intelligence Center (360TIC) dan Palo Alto Networks.
Kali ini penyerang ancaman tingkat lanjut menggunakan varian baru Trojan backdoor mereka, yang disebut RogueRobin, yang menginfeksi komputer korban dengan menipu mereka agar membuka dokumen Microsoft Excel yang berisi makro VBA tertanam, alih-alih mengeksploitasi kerentanan Windows zero-day apa pun.
Mengaktifkan makro menjatuhkan file teks berbahaya (.txt) di direktori sementara dan kemudian memanfaatkan aplikasi 'regsvr32.exe' yang sah untuk menjalankannya, akhirnya menginstal backdoor RogueRobin yang ditulis dalam bahasa pemrograman C # pada sistem yang dikompromikan.
malware makro microsoft office
Menurut para peneliti Palo Alto, RogueRobin menyertakan banyak fungsi sembunyi-sembunyi untuk memeriksa apakah itu dijalankan di lingkungan kotak pasir, termasuk memeriksa lingkungan tervirtualisasi, memori rendah, jumlah prosesor, dan alat analisis umum yang berjalan pada sistem. Ini juga mengandung kode anti-debug.
Seperti versi aslinya, varian baru RogueRobin juga menggunakan tunneling DNS — teknik mengirim atau mengambil data dan perintah melalui paket query DNS — untuk berkomunikasi dengan server perintah-dan-kontrolnya.
Namun, para peneliti menemukan bahwa selain tunneling DNS, malware juga telah dirancang untuk menggunakan Google Drive API sebagai saluran alternatif untuk mengirim data dan menerima perintah dari para peretas.
"RogueRobin mengunggah file ke akun Google Drive dan terus memeriksa waktu modifikasi file untuk melihat apakah aktor telah melakukan perubahan padanya. Aktor tersebut pertama-tama akan memodifikasi file untuk memasukkan pengidentifikasi unik yang akan digunakan Trojan untuk komunikasi di masa mendatang, "Kata peneliti Palo Alto. Kampanye malware baru menunjukkan bahwa kelompok peretasan APT bergeser lebih ke arah menyalahgunakan layanan yang sah untuk infrastruktur perintah-dan-kontrol mereka untuk menghindari deteksi.
Perlu dicatat bahwa karena makro VBA adalah fitur yang sah, sebagian besar solusi antivirus tidak menandai peringatan apa pun atau memblokir dokumen MS Office dengan kode VBA.
Cara terbaik untuk melindungi diri Anda dari serangan malware semacam itu adalah selalu curiga terhadap dokumen yang tidak diundang yang dikirim melalui email dan tidak pernah mengklik tautan di dalam dokumen itu kecuali memverifikasi sumber dengan benar.
