Este nuevo troyano fue descubierto a principio de 2019 por los investigadores de la firma 360 Threat Intelligence Center. Nombrado como RogueBin, tiene la particularidad de usar Google Drive como servidor de Comando & Control (C&C).

El proceso sucede de la siguiente manera: al abrir un archivo Excel que contiene un archivo.txt embebido en la macro, se aloja en la carpeta de archivos temporales para luego provocar que la aplicación “regsvr32.exe” lo ejecute.
Luego, un script en PowerShell es “droppeado” y termina por instalar un backdoor escrito en C# infectando al equipo.

El backdoor puede conectar con el servidor C&C utilizando una técnica conocida como “DNS Tunneling”, mediante la cual se codifican los datos de otros programas o protocolos ante solicitudes y envíos.
Pero además, el malware también fue diseñado para utilizar la API de Google Drive como canal alternativo para enviar datos y recibir comandos por parte de los operadores de la amenaza.

Esta alternativa llega deshabilitada por defecto, aunque se puede activar por el operador a través del túnel DNS.
Si esto sucede, el troyano adquiere una lista de parámetros de configuración que son enviados cuando se envía el comando correspondiente para la activación de Google Drive como alternativa de comunicación con el servidor.

No es nuevo que los atacantes pretendan aprovecharse de equipamiento legitimo para esconder su actividad maliciosa. Es importante recordar el caso de Petya, una amenaza que, al menos en su primera campaña, empezaba con un correo y utilizaba Dropbox para enviar un archivo que escondía el ejecutable de un ransomware. En este caso, la opción de enviar el archivo a través de Dropbox y no como adjunto era para evitar la localización del malware por el proceso de escaneo de archivos adjuntos.

“Una vez enviados, estos parámetros permiten el intercambio de información a través de Google Drive para, por ejemplo, utilizar URL de Drive para descargar, subir o actualizar archivos, así como también para obtener los tokens de acceso de 0Auth”, explicaron los investigadores de “Palo Alto Newtworks – Unit 42”