![Как да направите своя плейлист в YouTube на някой друг](/f/12982576f90deb3a82e31e5cad6003df.jpg?width=100&height=100)
Прикриването на злонамерени действия под законни услуги сега се превърна в нещо като тенденция, използвана с гордост от хакерите. Повечето от инструментите за сигурност търсят злонамерени IP адреси в мрежовия трафик. Но какво ще стане, ако киберпрестъпниците използват инфраструктура на законни услуги, за да скрият злонамерените си действия, докато атакуват?
Не е ли опасно?
Според изследователите на киберсигурността, нова атака на зловреден софтуер, свързана с скандалната група APT на DarkHydrus, използва Google Drive като свой сървър C2 (командване и управление).
DarkHydrus възниква през август 2018 г., когато групата APT се възползва от фишири с отворен код инструмент за провеждане на кампания за събиране на пълномощия срещу образователни институции и държавни органи в Средния регион Изток.
Според доклад на 360 Threat Intelligence Center & Palo Alto Networks, новата злонамерена атака се извършва от DarkHydrus APT също е извършена срещу Близкия изток.
Този път напредналите атакуващи заплахи използваха нов вариант за backdoor Trojan, описан като RogueRobin. Този троянски кон може да зарази компютрите на жертвите, като ги заблуди да отворят документ на MS Excel, който съдържа вградени макроси на VBA, вместо да злоупотребява с някаква уязвимост на нулевия ден на Windows.
Улесняване на макро слайдовете на злонамерен .txt файл във временната директория и въздействие върху законния ‘regsvr32.exe’ приложение, за да го стартирате, в крайна сметка инсталирайки задната врата на RogueRobin, написана на език за програмиране C #, на хакнатия компютър система.
Според някои изследователи от Palo Alto, компания за киберсигурност, троянецът RogueRobin включва различни стелт функции, за да разследва дали е изпълнявано в среда на пясъчника, това включва наблюдение на малко памет, виртуализирани среди, брой процесори и инструменти за общ анализ, работещи по системата. Също така, той включва код за отстраняване на грешки.
Подобно на оригиналната версия, този нов вариант на RogueRobin също използва DNS тунелиране, метод на изпращане или възстановяване на данни и команди чрез DNS пакети за заявки, за да взаимодейства с неговите команди и контрол сървър.
Въпреки това, изследователите забелязаха, че освен DNS тунелиране, зловредният софтуер също възнамерява да използва API на Google Drive като заместващ канал за изпращане / получаване на данни и команди от хакери.
Прочетете също: Duqu Virus: Най-сложният зловреден софтуер някога?
Според изследователи от Palo Alto, зловредният софтуер, RogueRobin качва файл в акаунта на Google Drive и постоянно следи времето за модификация на файла, за да види дали актьорът е направил промени в файл. Актьорът ще промени файла, за да включва уникален идентификатор, който ще бъде използван от троянския кон за допълнителни комуникации.
Тази нова атака на злонамерен софтуер подсказва, че хакерските групи на APT са променили фокуса си, за да злоупотребяват с легитимни услуги за своята инфраструктура за командване и управление, за да избегнат откриването.
Забележка: Тъй като макросите на VBA са легитимна функция, почти целият антивирусен софтуер не го разпознава като злонамерено съдържание или блокира документа на Microsoft Office, съдържащ код на VBA.
Най-добрият начин да избегнете заразяване от този вид злонамерена кампания е да бъдете нащрек и да проверявате всички нежелани документи, изпратени по имейл. Освен това се заречете никога да не отваряте връзки в тези нежелани документи, без да проверите правилно източника.
Тези атаки на злонамерен софтуер са повикване за събуждане и примери за това колко хакери са импровизирали, за да останат скрити, докато извършват своите злонамерени операции. Следователно, да останете нащрек е единственото нещо, което можете да направите, за да сте в безопасност.
Какво мислиш? Моля, споделете вашите виждания в раздела за коментари по-долу.
Трябва да се прочете :5 начина да получите зловреден софтуер на борда от социалните медии