DanDrop

O DanDrop é uma ferramenta de download de malware, parte do arsenal de um grupo de Ameaça Persistente Avançada (APT) chamado Lyceum ou Hexane pela comunidade de segurança cibernética. O DanDrop é entregue no primeiro estágio da cadeia de ataques do Lyceum e é responsável por criar uma cópia da principal ferramenta de malware dos hackers - um Trojan de Acesso Remoto chamado DanBot.

Para entregar o DanDrop ao computador de destino, ele é incorporado aos documentos do Microsoft Office como uma macro VBA. Os documentos que transportam o dropper são projetados para serem tão atraentes quanto possível, com nomes como 'As piores senhas de 2017' e 'Dez principais práticas de segurança'. Documentos escritos inteiramente em árabe também foram detectados.

O malware em si consiste em várias funções VBA. A função principal é acionada quando o usuário-alvo abre um documento corrompido do MS e é programado para realizar uma infinidade de ações no sistema comprometido. Primeiro, ele define a visibilidade de certas planilhas com o documento, após o que prossegue para criar um Users\Public\PublicPics dentro do diretório MyDocuments. A próxima etapa é descriptografar os dados codificados em Base64 do documento e armazená-los em duas variáveis chamadas ert e cnf. As variáveis são então gravadas em dois arquivos - ATrce.e e ATrce.ex, após os quais os arquivos recebem os novos nomes de ATrce.exe e ATrce.exe.config. Finalmente, ele chama a função SdT que pode iniciar a carga DanBot descartada posteriormente.