google drive

Google Drive: Un malware utilise le service en tant que serveur C&C

Des chercheurs en cybersécurité ont découvert un nouveau malware lié au groupe DarkHydrus APT qui utilise Google Drive comme un serveur command-and-control (C2 ou C&C).

DarkHydrus s’est fait repéré en Août l’année dernière car ils utilisaient l’outil open-source Phishery pour récolter des données sur des entités gouvernementales au Moyen-Orient.

Cette fois-ci ils utilisent une nouvelle variante de leur Trojan, nommé RogueRobin. Ce Trojan infecte les ordinateurs des victimes en les faisant ouvrir un document Microsoft Excel qui contient des macros VBA.

Activer la macro crée un fichier texte (.txt) dans un document temporaire et fait appel à l’application ‘regsvr32.exe’ pour l’exécuter et installer la porte dérobée RogueRobin sur le système compromis.

Il est à noter que les macros VBA sont des fonctionnalités normales, la plupart des antivirus ne flag pas et ne bloque pas les documents MS Office avec du code VBA.

microsoft office macro malware

Selon des chercheurs de Palo Alto, RogueRobin inclut plusieurs fonctions furtives pour vérifier si il est exécuté dans un environnement sandbox ou virtualisé. Il vérifie aussi la mémoire, le nombre de processeurs et les outils d’analyse présent sur le système.

Tout comme la version original, la nouvelle variante de RogueRobin utilise aussi le DNS tunneling (une technique qui permet d’envoyer et de recevoir des données et des commandes en utilisant des requêtes de paquets DNS) pour communiquer avec le serveur command-and-control.

Cependant, les chercheurs ont découvert qu’en plus du DNS tunneling, le malware a aussi été conçu pour utiliser Google Drive APIs en tant qu’alternative pour envoyer et recevoir des commandes.

RogueRobin envoie un fichier sur le compte Google Drive et garde un oeil sur la date de modification du fichier pour voir si la proie l’a changé. La proie modifiera le fichier pour y ajouter un identifiant unique que le Trojan utilisera pour communiquer.

Depuis que la plupart des outils de sécurité garde un œil sur le réseau pour détecter des adresses IP suspectes, les hackers ont commencé à utiliser des services légitimes pour cacher leurs activités.

Comment vous protéger?

La meilleure façon de vous protéger est de faire attention à tout les documents que vous recevez par email et de ne pas cliquer dessus si vous ne reconnaissez pas la source.

Laisser un commentaire