Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Un malware utiliza los servicios de Google Drive como su servidor C&C

Fecha de publicación 30/01/2019

Una nueva variante del troyano RogueBin utiliza Google Drive como su servidor de Comando & Control (C&C). El troyano infecta el equipo de la víctima cuando el usuario abre un archivo de Microsoft Excel que contiene macros VBA incrustadas. Una vez que se habilita la macro, se guarda un archivo .txt el directorio temporal, después se aprovecha la aplicación “regsvr32.exe” para ejecutarlo y por último se instala una puerta trasera (backdoor) escrita en lenguaje C#.

Según los investigadores de Palo Alto, RogueRobin incluye muchas funciones ocultas para verificar si se ejecuta en un entorno de sandbox, verificación de ejecución en entornos virtualizados, poca memoria, y herramientas de análisis comunes que se ejecutan en el sistema, además de contener un código anti-depuración.

Al igual que la versión original, esta nueva versión utiliza la tunelización DNS para enviar o recuperar datos y comandos a través de paquetes de consulta DNS.

Etiquetas