Google Drive: 1 malware utilise le service comme serveur C&C

Des chercheurs en sécurité informatique ont découvert un nouveau malware lié au groupe DarkHydrus APT qui utilise Google Drive comme serveur command-and-control (C2 ou C&C).

Google Drive ou Google Disque au Québec, est un service de stockage et de partage de fichiers dans le cloud lancé par la société Google. Google Drive, qui regroupe Google Docs, Sheets et Slides, Drawings, est une suite bureautique permettant de modifier des documents, des feuilles de calcul, des présentations, des dessins, des formulaires, etc. Les utilisateurs peuvent rechercher les fichiers partagés publiquement sur Google Drive par l’entremise de moteurs de recherche Web.

L’accès aux données stockées sur son espace Google Drive peut être fait soit en ligne via le site de Google, soit via la synchronisation sur un terminal. Pour synchroniser le dossier Google Drive sur son terminal (ordinateur, tablette ou smartphone), un logiciel est nécessaire à la synchronisation, et crée un dossier Google Drive dans lequel il suffit de déposer les dossiers et les documents à synchroniser.

Suite à la publication de cette découverte, un directeur de recherche de l’entreprise Kaspersky a indiqué sur Twitter que cet acteur avait également été identifié par leurs équipes depuis janvier 2018, les informations à leur disposition leur permettent d’affirmer que le groupe s’intéresse notamment à l’industrie de l’aviation, se veut discret et emploie des méthodes créatives. Du fait de l’absence de norme dans l’attribution des noms des APT, celui-ci est connu chez Kaspersky sous le nom de LazyMeerkat.at.

DarkHydrus s’est fait repéré en Août l’année dernière car ils utilisaient l’outil open-source Phishery pour récolter des données sur des entités gouvernementales au Moyen-Orient. DarkHydrus, comme de nombreux APT, utilise comme vecteur d’attaque initial des campagnes de hameçonnage ciblé.

Cette fois-ci, ils utilisent une nouvelle variante de leur Trojan, nommé RogueRobin. Ce Trojan infecte les ordinateurs des victimes en les faisant ouvrir un document Microsoft Excel qui contient des macros VBA.

Activer la macro crée un fichier texte (.txt) dans un document temporaire et fait appel à l’application ‘regsvr32.exe’ pour l’exécuter et installer la porte dérobée RogueRobin sur le système compromis.

Il est à noter que les macros VBA sont des fonctionnalités normales, la plupart des antivirus ne flag pas et ne bloque pas les documents MS Office avec du code VBA.

google drive office macro malware

Selon des chercheurs de Palo Alto, RogueRobin inclut plusieurs fonctions furtives pour vérifier si il est exécuté dans un environnement sandbox ou virtualisé. Il vérifie aussi la mémoire, le nombre de processeurs et les outils d’analyse présents sur le système.

Tout comme la version originale, la nouvelle variante de RogueRobin utilise aussi le DNS tunneling (une technique qui permet d’envoyer et de recevoir des données et des commandes en utilisant des requêtes de paquets DNS) pour communiquer avec le serveur command-and-control.

Cependant, les chercheurs ont découvert qu’en plus du DNS tunneling, le malware a aussi été conçu pour utiliser les API de Google Drive en tant qu’alternative pour envoyer et recevoir des commandes.

RogueRobin envoie un fichier sur le compte Google Drive et garde un oeil sur la date de modification du fichier pour voir si la proie l’a changé. La proie modifiera le fichier pour y ajouter un identifiant unique que le Trojan utilisera pour communiquer.

Comme la plupart des outils de sécurité garde un œil sur le réseau pour détecter des adresses IP suspectes, les hackers ont commencé à utiliser des services légitimes pour cacher leurs activités.

Comment vous protéger de ce malware utilisant Google Drive?

La meilleure façon de vous protéger est de faire attention à tout les documents que vous recevez par e-mail et de ne pas cliquer dessus si vous ne reconnaissez pas la source.

Si cet article vous a plu, jetez un œil à notre précédent article.

Poster un Commentaire

avatar
  S’abonner  
Notifier de