DoppelDridex

Er is waargenomen dat een nieuwe variant van de Dridex banking-trojan wordt ingezet in aanvalscampagnes die worden toegeschreven aan de cybercriminaliteitsgroep DOPPEL SPIDER. De nieuwe versie van Dridex kreeg de naam DoppelDridex en is afkomstig van bekende content delivery networks (CDN's), zoals Slack en Discord. De dreigingsactor zette ook extra payloads van de tweede fase in, zoals de Cobalt Strike, waardoor hun achterdeur toegang tot de gecompromitteerde systemen, potentiële mogelijkheden voor zijwaartse beweging binnen het geschonden netwerk en de aanval werd geëscaleerd door de inzet van de Grief Ransomware.

De aanval begint met de verspreiding van lokaas-e-mails met beschadigde Microsoft Excel Binary Format (XLSB)-bestanden. Om de nietsvermoedende slachtoffers te verleiden de bijlagen te openen, bevatten de e-mails meestal teksten die impliceren dat een belangrijke factuur of belastinggerelateerde informatie met betrekking tot de gebruiker in de bestanden is opgenomen. Door de resultaten van de beschadigde macro bij de uitvoering van een VBScript te activeren, wordt de DoppelDridex-payload opgehaald uit de Slack- of Discord CDN-infrastructuur die wordt beheerd door de aanvallers.

Het gebruik van Discord als onderdeel van bedreigende campagnes is in opkomst en het lijkt erop dat cybercriminelen Slack ook proberen te gebruiken voor dezelfde doeleinden, namelijk het opzetten van payloads. Deze populaire CDN's worden minder snel geblokkeerd door proxy's of andere netwerkgebaseerde controlesystemen.