I ricercatori di Cybersecurity hanno individuato una nuova campagna di attacco malware collegata al famigerato gruppo APT DarkHydrus che utilizza Google Drive come server command-and-control (C2).
DarkHydrus è venuto alla luce per la prima volta nell’agosto dello scorso anno quando il gruppo APT ha sfruttato lo strumento open source Phishery per attuare campagne di raccolta delle credenziali contro entità governative e istituzioni educative in Medio Oriente.
L’abilitazione della macro rilascia un file di testo (.txt) dannoso nella directory temporanea e quindi sfrutta l’applicazione legittima ‘regsvr32.exe’ per eseguirla, eventualmente installando la backdoor RogueRobin scritta nel linguaggio di programmazione C # sul sistema compromesso.
Il modo migliore per proteggersi da tali attacchi di malware è cercare di monitorare qualsiasi documento non invitato inviato tramite una e-mail e non fare mai clic su collegamenti all’interno di tali documenti se non verificando correttamente la fonte.
