DoppelDridex

DoppelDridex Opis

Zaobserwowano, że nowy wariant trojana bankowego Dridex jest wdrażany w kampaniach ataków przypisywanych grupie cyberprzestępczej DOPPEL SPIDER. Nowa wersja Dridex została nazwana DoppelDridex i jest pobierana z dobrze znanych sieci dostarczania treści (CDN), takich jak Slack i Discord. Zagrożony gracz wdrożył również dodatkowe ładunki drugiego etapu, takie jak Cobalt Strike, zapewniając dostęp tylnymi drzwiami do zaatakowanych systemów, potencjalne możliwości ruchu bocznego w naruszonej sieci i eskalując atak poprzez wdrożenie Grief Ransomware.

Atak rozpoczyna się rozsyłaniem wiadomości e-mail z przynętą zawierających uszkodzone pliki Microsoft Excel Binary Format (XLSB). Aby zwabić niczego niepodejrzewające ofiary do otwarcia załączników, wiadomości e-mail zazwyczaj zawierają tekst sugerujący, że w plikach znajduje się ważna faktura lub informacje podatkowe związane z użytkownikiem. Wyzwolenie wyników uszkodzonego makra podczas wykonywania VBScript pobiera ładunek DoppelDridex z infrastruktury CDN Slack lub Discord kontrolowanej przez atakujących.

Wykorzystanie Discorda w ramach groźnych kampanii rośnie i wydaje się, że cyberprzestępcy również próbują używać Slacka do tych samych celów, co do przechowywania ładunków. Te popularne sieci CDN są mniej podatne na blokowanie przez serwery proxy lub inne sieciowe systemy kontroli.