DoppelDridex

DoppelDridex Описание

Наблюдава се, че нов вариант на банков троянец на Dridex е разгърнат в кампании за атака, приписвани на групата за киберпрестъпления DOPPEL SPIDER. Новата версия на Dridex е наречена DoppelDridex и се извлича от добре познати мрежи за доставка на съдържание (CDN), като Slack и Discord. Акторът на заплахата също така използва допълнителни полезни натоварвания от втора степен, като Cobalt Strike , осигурявайки техния заден достъп до компрометираните системи, потенциални възможности за странично движение в пробитата мрежа и ескалиране на атаката чрез внедряване на Grief Ransomware .

Атаката започва с разпространението на имейли със стръв, носещи повредени файлове на Microsoft Excel в двоичен формат (XLSB). За да привлекат нищо неподозиращите жертви да отворят прикачените файлове, имейлите обикновено съдържат текстове, които предполагат, че във файловете се съдържа важна фактура или свързана с потребителя информация за данъците. Задействането на резултатите от повредения макрос при изпълнение на VBScript извлича полезния товар DoppelDridex от инфраструктурата на Slack или Discord CDN, контролирана от нападателите.

Използването на Discord като част от заплашителни кампании се увеличава и изглежда, че киберпрестъпниците също се опитват да използват Slack за същите цели за организиране на полезни товари. По-малко вероятно е тези популярни CDN да бъдат блокирани от прокси сървъри или други мрежови системи за управление.