![\"macro](\"https:\/\/1.bp.blogspot.com\/-sgEFwccdumk\/XEX7gSIy9WI\/AAAAAAAAzGE\/C2oPxjRTpjMNMRPZU15Ge3UpdGB2egNBwCLcBGAs\/s728-e100\/microsoft-office-macro-malware-min.png\")
<\/a><\/figure>\r\n\r\nO DarkHydrus apareceu pela primeira vez em agosto do ano passado, quando o grupo APT estava aproveitando a ferramenta Phishery de c\u00f3digo aberto para realizar uma campanha de coleta de credenciais contra entidades governamentais e institui\u00e7\u00f5es de ensino no Oriente M\u00e9dio.<\/p>\r\n
A \u00faltima campanha maliciosa conduzida pelo grupo APH DarkHydrus tamb\u00e9m foi observada contra alvos no Oriente M\u00e9dio, de acordo com relat\u00f3rios publicados pelo 360 Threat Intelligence Center (360TIC) e pela Palo Alto Networks.<\/p>\r\n
Desta vez, os invasores avan\u00e7ados est\u00e3o usando uma nova variante do Trojan de backdoor, chamado RogueRobin, que infecta os computadores das v\u00edtimas, enganando-os para abrir um documento do Microsoft Excel contendo macros VBA incorporadas, em vez de explorar qualquer vulnerabilidade de zero-day do Windows.<\/p>\r\n
A ativa\u00e7\u00e3o da macro descarta um arquivo de texto mal intencionado (.txt) no diret\u00f3rio tempor\u00e1rio e aproveita o aplicativo leg\u00edtimo ‘regsvr32.exe’ para execut\u00e1-lo, instalando eventualmente o backdoor RogueRobin escrito em linguagem de programa\u00e7\u00e3o C# no sistema comprometido.<\/p>\r\n\r\n De acordo com os pesquisadores da Palo Alto, o RogueRobin inclui muitas fun\u00e7\u00f5es invis\u00edveis para verificar se ele \u00e9 executado no ambiente sandbox, incluindo a verifica\u00e7\u00e3o de ambientes virtualizados, pouca mem\u00f3ria, contagens de processador e ferramentas de an\u00e1lise comuns em execu\u00e7\u00e3o no sistema, bem como cont\u00e9m c\u00f3digo anti-debug.<\/p>\r\n Como a vers\u00e3o original, a nova variante do RogueRobin tamb\u00e9m usa o encapsulamento DNS, uma t\u00e9cnica de envio ou recupera\u00e7\u00e3o de dados e comandos por meio de pacotes de consulta DNS para se comunicar com seu servidor de comando e controle.<\/p>\r\n No entanto, os pesquisadores descobriram que al\u00e9m do tunelamento de DNS, o malware tamb\u00e9m foi projetado para usar as APIs do Google Drive como um canal alternativo para enviar dados e receber comandos dos hackers.<\/p>\r\n “O RogueRobin carrega um arquivo para a conta do Google Drive e verifica continuamente o hor\u00e1rio de modifica\u00e7\u00e3o do arquivo para verificar se houve alguma altera\u00e7\u00e3o. Logo ap\u00f3s, modifica o arquivo para incluir um identificador exclusivo que o Trojan usar\u00e1 em comunica\u00e7\u00f5es futuras, “<\/p>\r\n A nova campanha de malware informa que os grupos de hackers da APT est\u00e3o mudando constantemente e explorando os servi\u00e7os leg\u00edtimos para sua infra-estrutura de comando e controle, a fim de evitar uma poss\u00edvel detec\u00e7\u00e3o.<\/p>\r\n Deve-se observar que, como as macros VBA s\u00e3o um recurso leg\u00edtimo, a maioria das solu\u00e7\u00f5es antiv\u00edrus n\u00e3o sinaliza nenhum aviso nem bloqueia documentos do MS Office com c\u00f3digo VBA.<\/p>\r\n A melhor maneira de se proteger de tais ataques de malware \u00e9 sempre desconfiar de qualquer documento n\u00e3o convidado que foi enviado por um e-mail e nunca clicar em links contidos dentro desses documentos, a menos que a fonte seja verificada corretamente.<\/p>\r\n\r\n <\/p>\r\n\r\n\r\n\r\n<\/a><\/figure>\r\n\r\n