DobbeltDridex

DobbeltDridex Beskrivelse

En ny variant af Dridex -banktrojanen er blevet observeret indsat i angrebskampagner, der tilskrives DOPPEL SPIDER -cyberkriminalitetsgruppen. Den nye version af Dridex hed DoppelDridex og hentes fra velkendte indholdsleveringsnetværk (CDN'er), såsom Slack og Discord. Trusselsaktøren indsatte også yderligere anden etappes nyttelast, såsom Cobalt Strike, hvilket sikrer deres bagdørs adgang til de kompromitterede systemer, potentielle muligheder for sideværts bevægelse inden for det brudte netværk og eskalerer angrebet ved at implementere Grief Ransomware.

Angrebet begynder med distribution af lokkemails, der bærer beskadigede Microsoft Excel Binary Format (XLSB) filer. For at lokke de intetanende ofre til at åbne vedhæftede filer, indeholder e-mailsne typisk tekster, der indebærer, at der er indeholdt en vigtig faktura eller skatterelaterede oplysninger relateret til brugeren inde i filerne. Ved at udløse resultaterne af den beskadigede makro i udførelsen af et VBScript hentes DoppelDridex nyttelast fra Slack eller Discord CDN infrastrukturen kontrolleret af angriberne.

Brugen af Discord som en del af truende kampagner har været stigende, og det ser ud til, at cyberkriminelle også forsøger at bruge Slack til de samme formål med iscenesættelse af nyttelast. Disse populære CDN'er er mindre tilbøjelige til at blive blokeret af proxyer eller andre netværksbaserede kontrolsystemer.