Pesquisadores descobriram recentemente uma nova variante de um trojan atribuído ao grupo conhecido como DarkHydrus, que tem a peculiaridade de usar o Google Drive como seu servidor de Comando e Controle (C&C).

Batizada como RogueRobin, essa nova variante do trojan foi descoberta por pesquisadores da empresa 360 Threat Intelligence Center em 9 de janeiro, como parte de uma campanha que, segundo os especialistas, tem como alvo a região do Oriente Médio.

A ameaça infecta o computador do usuário através de uma fraude e faz com que a vítima abra um arquivo do Excel que contém um arquivo .txt incorporado na macro, que está hospedado na pasta de arquivos temporários para, em seguida, fazer com que o aplicativo "regsvr32.exe" seja executado. Logo após essa etapa, um script do PowerShell é "droppeado" e a ameaça acaba instalando um backdoor gravado em C# na máquina infectada.

O backdoor se comunica com o servidor C&C usando uma técnica conhecida como "DNS Tunneling", por meio da qual os dados de outros programas ou protocolos são codificados antes de solicitações e envios. Mas, além disso, o malware também foi projetado para usar a API do Google Drive como um canal alternativo para enviar dados e receber comandos dos operadores da ameaça.

Esta possibilidade alternativa é desativada por padrão, embora possa ser ativada pelo operador através do túnel DNS. Caso esteja ativada, o trojan recebe uma lista de parâmetros de configuração que são enviados quando o comando correspondente é enviado para a ativação do Google Drive como uma alternativa à comunicação com o servidor. De acordo com pesquisadores da Unidade 42 da Palo Alto, uma vez enviados, esses parâmetros permitem a troca de informações através do Google Drive para, por exemplo, usar o URL do Drive para baixar, carregar ou atualizar arquivos, bem como para obter os tokens de acesso do 0Auth.

A troca de informações ocorre quando o trojan carrega um arquivo de identificação para o Google Drive, que será usado para monitorar as alterações no tempo de modificação feitas no arquivo pelo seu operador, explicaram os especialistas.

Por outro lado, tanto os pesquisadores da Palo Alto como os da 360 Threat Intelligence Center observaram que o trojan RogueRobin verifica se está sendo executado em um ambiente “sandbox” e também se há um “debugger” anexado ao seu processo, saindo automaticamente no caso de detectar a presença desse último.

Como já observamos anteriormente em outros casos, não é novidade que os cibercriminosos tentem tirar proveito de infraestruturas legítimas para ocultar sua atividade maliciosa. Vale lembrar o caso do Petya, uma ameaça que, pelo menos em sua primeira campanha, começou com um email e usava o Dropbox para enviar um arquivo que escondia o executável de um ransomware. Nesse caso, a opção de enviar o arquivo via Dropbox e não como anexo era para evitar a detecção do malware pelo processo de verificação de arquivos anexos.