DanDrop

DanDrop è uno strumento contagocce di malware, parte dell'arsenale di un gruppo APT (Advanced Persistent Threat) chiamato Lyceum o Hexane, dalla comunità della sicurezza informatica. DanDrop viene fornito nella prima fase della catena di attacchi di Lyceum ed è responsabile della creazione di una copia del principale strumento malware degli hacker, un Trojan di accesso remoto chiamato DanBot .

Per fornire DanDrop sul computer di destinazione, è incorporato nei documenti di Microsoft Office come macro VBA. I documenti che trasportano il contagocce sono progettati per essere il più allettanti possibile con nomi come "Le peggiori password del 2017" e "Le dieci migliori pratiche di sicurezza". Sono stati rilevati anche documenti scritti interamente in arabo.

Il malware stesso è costituito da diverse funzioni VBA. La funzione principale viene attivata quando l'utente mirato apre un documento MS danneggiato ed è programmato per eseguire una moltitudine di azioni sul sistema compromesso. Innanzitutto, imposta la visibilità di alcuni fogli con il documento, dopodiché procede alla creazione di un Users \ Public \ PublicPics all'interno della directory MyDocuments. Il passaggio successivo consiste nel decrittografare i dati con codifica Base64 dal documento e archiviarli all'interno di due variabili denominate ert e cnf. Le variabili vengono quindi scritte in due file: ATrce.e e ATrce.ex, dopodiché ai file vengono assegnati i nuovi nomi di ATrce.exe e ATrce.exe.config. Infine, chiama la funzione SdT che può avviare il payload DanBot abbandonato in un secondo momento.