RogueRobin Trojan
O malware RogueRobin é um produto desenvolvido pelo grupo de ameaças DarkHydrus, famoso por coletar credenciais de usuários e obter acesso aos sistemas das agências governamentais de alto nível na Europa Ocidental e no Oriente Médio. O malware RogueRobin é um Trojan backdoor, que é conhecido por abusar da API do Google Drive e escapar da detecção, procurando por software de virtualização, ambientes de sandbox e ferramentas de depuração. O grupo de ameaças DarkHydrus incorpora scripts VBA em planilhas enganosas que são enviadas principalmente para funcionários do governo no Oriente Médio.
O Trojan Backdoor RogueRobin é entregue aos computadores quando os usuários abrem um arquivo de planilha corrompido que solta um arquivo TXT chamado drops '12-B-366.txt' no diretório temporário. O segundo estágio do ataque envolve o lançamento do regsvr32.exe para carregar o código de '12-B-366.txt' e verificar marcadores de sandbox, serviços de virtualização, software de depuração e instrumentos de análise. Se o ambiente for propício, o Trojan Backdoor RdoRobin é instalado localmente e um backdoor é aberto no host comprometido. O malware esconde as suas transmissões de dados abusando da API do Google Drive e rastreando as alterações em um arquivo com comandos em uma conta do Google Drive. Cada alteração no arquivo de configuração do programa é interpretada como um comando, e o Trojan Backdoor RogueRobin pode fazer o upload dos dados extraídos do host.
O Trojan Backdoor RogueRobin é escrito na linguagem de programação C# e quase não tem dependências. O malware pode ser difícil de detectar durante o uso regular do computador. Como mencionado anteriormente, o Trojan RogueRobin explora o Google Drive que é um serviço popular, e muitos programas anti-vírus não podem sinalizar as transmissões de dados de entrada e saída como sendo particularmente suspeitas. Os usuários de PCs domésticos provavelmente não serão afetados pela campanha de e-mail da DarkHydrus, considerando que o grupo está atrás de alvos de alto perfil. No entanto, você deve executar digitalizações de segurança regularmente e talvez queira adicionar um firewall aprimorado ao seu sistema.
