Доппель

Доппель Описание

Было замечено, что новый вариант банковского троянца Dridex использовался в кампаниях атак, приписываемых киберпреступной группе DOPPEL SPIDER. Новая версия Dridex была названа DoppelDridex и получена из хорошо известных сетей доставки контента (CDN), таких как Slack и Discord. Злоумышленник также развернул дополнительные полезные нагрузки второго уровня, такие как Cobalt Strike , обеспечивая бэкдор-доступ к скомпрометированным системам, потенциальные возможности для бокового перемещения внутри взломанной сети и эскалацию атаки путем развертывания программы- вымогателя Grief .

Атака начинается с распространения электронных писем-приманок, содержащих поврежденные файлы двоичного формата Microsoft Excel (XLSB). Чтобы соблазнить ничего не подозревающих жертв открыть вложения, электронные письма обычно содержат тексты, подразумевающие, что внутри файлов содержится важная информация о счете или налоговая информация, относящаяся к пользователю. Запуск результатов поврежденного макроса при выполнении VBScript извлекает полезную нагрузку DoppelDridex из инфраструктуры Slack или Discord CDN, контролируемой злоумышленниками.

Использование Discord как части угрожающих кампаний растет, и похоже, что киберпреступники также пытаются использовать Slack для тех же целей, для размещения полезной нагрузки. Эти популярные CDN с меньшей вероятностью будут заблокированы прокси-серверами или другими сетевыми системами управления.