Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/01/21

RogueBin troiarraren aldaera berri batek Google Drive erabiltzen du bere Komando eta Kontrol (CC) zerbitzari modura. Troiarrak biktimaren ekipoa kutsatzen du erabiltzaileak VBA makro txertatuak dituen Microsoft Excelen fitxategi bat irekitzen duenean. Makroa gaitu ondoren, .txt fitxategi bat gordetzen da direktorio iragankor batean, ondoren 'regsvr32.exe' aplikazioa baliatzen da hura exekutatzeko eta, azkenik, atzeko ate bat (backdoor) instalatzen da C# lengoaian idatzita.

Palo Altoko ikertzaileek diotenez, RogueRobinek ezkutuko funtzio asko ditu sandbox ingurune batean exekutatzen den egiaztatzeko, birtualizatutako inguruneetan exekuzioaren egiaztapena, memoria urria, eta sisteman exekutatzen diren azterketa komuneko tresnak. Horrez gain, arazketaren aurkako kodea dauka.

Bertsio originalak bezala, bertsio berri honek DNS tunelizazioa erabiltzen du datuak eta komandoak bidali edo berreskuratzeko DNS kontsulta paketeen bidez.

Erreferentziak: