Investigadores descubrieron recientemente una nueva variante de un troyano atribuido al grupo conocido como DarkHydrus, que presenta la particularidad de utilizar Google Drive como su servidor de Comando & Control (C&C).
Nombrado RogueRobin, esta nueva variante del troyano fue descubierta por investigadores de la firma 360 Threat Intelligence Center el pasado 9 de enero en el marco de una campaña que según los especialistas está dirigida a la región de Medio Oriente.
La amenaza infecta la computadora de la víctima al engañarla y lograr que abra un archivo Excel que contiene un archivo .txt embebido en la macro, el cual se aloja en la carpeta de archivos temporales para luego provocar que la aplicación “regsvr32.exe” lo ejecute. Paso seguido, un script en PowerShell es “droppeado” y termina instalando un backdoor escrito en C# en el equipo infectado.
El backdoor puede comunicarse con el servidor C&C utilizando una técnica conocida como "DNS Tunneling", mediante la cual se codifican los datos de otros programas o protocolos ante solicitudes y envíos. Pero, además, el malware también fue diseñador para utilizar la API de Google Drive como canal alternativo para enviar datos y recibir comandos por parte de los operadores de la amenaza.
Esta posibilidad alternativa viene deshabilitada por defecto, aunque puede ser activada por el operador a través del túnel DNS. Si es activada, el troyano recibe una lista de parámetros de configuración que son enviados cuando se envía el comando correspondiente para la activación de Google Drive como alternativa de comunicación con el servidor. Según explican investigadores de la Unidad 42 de Palo Alto, una vez enviados, estos parámetros permiten el intercambio de información a través de Google Drive para, por ejemplo, utilizar URL de Drive para descargar, subir o actualizar archivos, así como también para obtener los tokens de acceso de 0Auth.
El intercambio de información se produce cuando el troyano sube a Google Drive un archivo de identificación que será utilizado para monitorear cambios en el tiempo de modificación realizados en el archivo por parte de su operador, explicaron los especialistas.
Por otra parte, tanto los investigadores de Palo Alto como los de 360 Threat Intelligence Center observaron que el troyano RogueRobin revisa si se está corriendo en un entorno “sandbox”, y también si un existe un “debugger” adjuntado a su proceso, saliendo automáticamente en caso de detectar la presencia de este último.
Como hemos visto en otras oportunidades, no es novedad que los atacantes intenten aprovecharse de infraestructuras legítimas para ocultar su actividad maliciosa. Cabe recordar sino el caso de Petya, una amenaza que, al menos en su primera campaña, comenzaba con un correo y utilizaba Dropbox para enviar un archivo que escondía el ejecutable de un ransomware. En este caso, la elección de enviar el archivo a través de Dropbox y no como adjunto era para evadir la detección del malware mediante el proceso de escaneo de archivos adjuntos.