DanDrop

DanDrop is een malware-dropper-tool, onderdeel van het arsenaal van een Advanced Persistent Threat (APT) -groep genaamd Lyceum of Hexane, door de cyberbeveiligingsgemeenschap. DanDrop wordt geleverd in de eerste fase van de aanvalsketen van Lyceum en is verantwoordelijk voor het maken van een kopie van de belangrijkste malwaretool van de hackers - een Trojan voor externe toegang genaamd DanBot .

Om DanDrop op de beoogde computer af te leveren, wordt het als een VBA-macro in Microsoft Office-documenten ingebed. De documenten met de druppelaar zijn ontworpen om zo aanlokkelijk mogelijk te zijn met namen als 'The Worst Passwords of 2017' en 'Top Ten Security Practices'. Documenten die volledig in het Arabisch zijn geschreven, zijn ook gedetecteerd.

De malware zelf bestaat uit verschillende VBA-functies. De hoofdfunctie wordt geactiveerd wanneer de beoogde gebruiker een beschadigd MS-document opent en is geprogrammeerd om een groot aantal acties uit te voeren op het gecompromitteerde systeem. Ten eerste stelt het de zichtbaarheid van bepaalde bladen met het document in, waarna het doorgaat met het maken van een Users \ Public \ PublicPics in de MyDocuments-directory. De volgende stap is het decoderen van Base64-gecodeerde gegevens uit het document en deze op te slaan in twee variabelen genaamd ert en cnf. De variabelen worden vervolgens in twee bestanden geschreven - ATrce.e en ATrce.ex, waarna de bestanden de nieuwe namen ATrce.exe en ATrce.exe.config krijgen. Ten slotte roept het de SdT-functie aan die de weggevallen DanBot-payload op een later tijdstip kan starten.