DoppelDridex

DoppelDridex Descrizione

È stato osservato che una nuova variante del Trojan bancario Dridex è stata utilizzata nelle campagne di attacco attribuite al gruppo di criminalità informatica DOPPEL SPIDER. La nuova versione di Dridex è stata denominata DoppelDridex e viene recuperata da ben note reti di distribuzione di contenuti (CDN), come Slack e Discord. L'attore delle minacce ha anche implementato ulteriori payload di secondo stadio, come Cobalt Strike, garantendo l'accesso backdoor ai sistemi compromessi, potenziali opportunità di movimento laterale all'interno della rete violata e intensificando l'attacco distribuendo il Grief Ransomware.

L'attacco inizia con la distribuzione di e-mail contenenti file Microsoft Excel Binary Format (XLSB) corrotti. Per indurre le vittime ignare ad aprire gli allegati, le e-mail in genere contengono testi che implicano che all'interno dei file sono contenute una fattura importante o informazioni relative alle tasse relative all'utente. L'attivazione dei risultati della macro danneggiata nell'esecuzione di un VBScript recupera il payload DoppelDridex dall'infrastruttura CDN Slack o Discord controllata dagli aggressori.

L'uso di Discord come parte di campagne minacciose è in aumento e sembra che anche i criminali informatici stiano cercando di utilizzare Slack per gli stessi scopi di mettere in scena i payload. Questi CDN popolari hanno meno probabilità di essere bloccati da proxy o altri sistemi di controllo basati sulla rete.