DanDrop

DanDrop Beskrivelse

DanDrop er et malware-dropper-værktøj, der er en del af arsenalet i en Advanced Persistent Threat (APT) -gruppe kaldet Lyceum eller Hexane, af cybersikkerhedsfællesskabet. DanDrop leveres i den første fase af Lyceum 's angreb kæde og er ansvarlig for at skabe en kopi af de hackere' vigtigste malware værktøj - en Remote Access Trojan kaldet DanBot .

For at levere DanDrop til den målrettede computer er den integreret i Microsoft Office-dokumenter som en VBA-makro. Dokumenterne med dropper er designet til at være så lokkende som muligt med navne som 'De værste adgangskoder i 2017' og 'Top ti sikkerhedspraksis'. Dokumenter, der er skrevet på arabisk, er også blevet opdaget.

Selve malware består af flere VBA-funktioner. Hovedfunktionen udløses, når den målrettede bruger åbner et beskadiget MS-dokument og er programmeret til at udføre en lang række handlinger på det kompromitterede system. For det første indstiller det visningen af visse ark med dokumentet, hvorefter det fortsætter med at oprette en Brugere \ Public \ PublicPics i MyDocuments-biblioteket. Det næste trin er at dekryptere Base64-kodede data fra dokumentet og gemme det i to variabler med navnet ert og cnf. Variablerne skrives derefter i to filer - ATrce.e og ATrce.ex, hvorefter filerne får de nye navne på ATrce.exe og ATrce.exe.config. Endelig kalder det SdT-funktionen, der kan starte den faldne DanBot-nyttelast på et senere tidspunkt.