DoppelDridex

Observou-se que uma nova variante do Trojan bancário Dridex foi implantada em campanhas de ataque atribuídas ao grupo de crimes cibernéticos DOPPEL SPIDER. A nova versão do Dridex foi batizada como DoppelDridex e é obtida de redes conhecidas de entrega de conteúdo (CDNs), como o Slack e o Discord. O agente da ameaça também implantou cargas úteis adicionais de segundo estágio, como o Cobalt Strike, garantindo o acesso do seu backdoor aos sistemas comprometidos, oportunidades potenciais para movimento lateral dentro da rede violada e escalando o ataque implantando o Grief Ransomware.

O ataque começa com a distribuição de e-mails de isca contendo arquivos Microsoft Excel Binary Format (XLSB) corrompidos. Para fazer com que as vítimas desavisadas abram os anexos, os e-mails geralmente trazem textos que sugerem que uma fatura importante ou informações fiscais relacionadas ao usuário estão contidas nos arquivos. O disparo dos resultados do macro corrompido na execução de um VBScript recupera a carga útil do DoppelDridex da infraestrutura do Slack ou do Discord CDN controlada pelos invasores.

O uso do Discord como parte de campanhas ameaçadoras tem aumentado e parece que os cibercriminosos também estão tentando usar o Slack para os mesmos fins de preparação de cargas úteis. Esses CDNs populares têm menos probabilidade de serem bloqueados por proxies ou outros sistemas de controle baseados na rede.