DanDrop

DanDrop je nástroj pro odstraňování malwaru, který je součástí arzenálu skupiny Advanced Persistent Threat (APT) zvané Lyceum nebo Hexane, komunitou kybernetické bezpečnosti. DanDrop je dodáván v první fázi útočného řetězce Lycea a je zodpovědný za vytvoření kopie hlavního hackerského malwarového nástroje - trojského koně vzdáleného přístupu s názvem DanBot .

Aby se DanDrop zobrazil na cílovém počítači, je vložen do dokumentů Microsoft Office jako makro VBA. Dokumenty nesoucí kapátko jsou navrženy tak, aby byly lákavé, jak je to jen možné, názvy jako „Nejhorší hesla roku 2017" a „Nejlepších deset bezpečnostních postupů". Byly také detekovány dokumenty napsané v arabštině.

Samotný malware se skládá z několika funkcí VBA. Hlavní funkce se aktivuje, když cílový uživatel otevře poškozený dokument MS a je naprogramován tak, aby provedl řadu akcí na napadeném systému. Nejprve nastaví viditelnost určitých listů s dokumentem, po kterém pokračuje v vytváření adresáře Users \ Public \ PublicPics v adresáři MyDocuments. Dalším krokem je dešifrování dat kódovaných pomocí Base64 z dokumentu a jejich uložení do dvou proměnných s názvem ert a cnf. Proměnné se poté zapíší do dvou souborů - ATrce.e a ATrce.ex, poté dostanou soubory nové názvy ATrce.exe a ATrce.exe.config. Nakonec zavolá funkci SdT, která může spuštěné užitečné zatížení DanBot spustit později.