DanDrop

DanDrop on haittaohjelmien pudotustyökalu, joka on kyberturvallisuusyhteisön osa Advanced Persistent Threat (APT) -ryhmän nimeltään Lyceum tai Hexane. DanDrop toimitetaan Lyceumin hyökkäysketjun ensimmäisessä vaiheessa, ja se on vastuussa kopion luomisesta hakkereiden tärkeimmistä haittaohjelmatyökaluista - etäkäyttöinen troijalainen nimeltä DanBot .

DanDropin toimittamiseksi kohdetietokoneelle se upotetaan Microsoft Office -asiakirjoihin VBA-makrona. Pipottia sisältävät asiakirjat on suunniteltu olemaan mahdollisimman houkuttelevia nimillä, kuten '' Pahimmat salasanat 2017 '' ja '' Kymmenen parasta tietoturvakäytäntöä ''. Myös arabiaksi kirjoitetut asiakirjat on havaittu.

Haittaohjelma itsessään koostuu useista VBA-toiminnoista. Päätoiminto käynnistyy, kun kohdennettu käyttäjä avaa vioittuneen MS-asiakirjan ja on ohjelmoitu suorittamaan lukuisia toimintoja vaarantuneelle järjestelmälle. Ensinnäkin se asettaa tiettyjen arkkien näkyvyyden asiakirjan kanssa, minkä jälkeen se luo User \ Public \ PublicPics MyDocuments-hakemistoon. Seuraava vaihe on purkaa Base64-koodatut tiedot asiakirjasta ja tallentaa ne kahteen muuttujaan nimeltä ert ja cnf. Muuttujat kirjoitetaan sitten kahteen tiedostoon - ATrce.e ja ATrce.ex, minkä jälkeen tiedostoille annetaan uudet nimet ATrce.exe ja ATrce.exe.config. Lopuksi se kutsuu SdT-toimintoa, joka voi aloittaa pudotetun DanBot-hyötykuorman myöhemmin.