DoppelDridex

En ny variant av Dridex -banktrojanen har observerats utplacerad i attackkampanjer som tillskrivs DOPPEL SPIDER -cyberbrottsgruppen. Den nya versionen av Dridex fick namnet DoppelDridex och hämtas från välkända innehållsleveransnätverk (CDN), till exempel Slack och Discord. Hotaktören använde också ytterligare andra etappers nyttolast, till exempel Cobalt Strike, för att säkerställa deras bakdörråtkomst till de komprometterade systemen, potentiella möjligheter för sidorörelse inom det kränkta nätverket och eskalera attacken genom att distribuera Grief Ransomware.

Attacken börjar med distribution av bete -e -postmeddelanden med korrupta Microsoft Excel -binära format (XLSB) -filer. För att locka de intet ont anande offren att öppna bilagorna, innehåller mejlen vanligtvis texter som innebär att en viktig faktura eller skatterelaterad information relaterad till användaren finns i filerna. Genom att utlösa resultaten av det skadade makrot vid körning av ett VBScript hämtas DoppelDridex nyttolast från Slack eller Discord CDN -infrastrukturen som kontrolleras av angriparna.

Användningen av Discord som en del av hotande kampanjer har ökat, och det verkar som att it -kriminella också försöker använda Slack för samma syften för att iscensätta nyttolaster. Dessa populära CDN: er är mindre benägna att blockeras av proxyservrar eller andra nätverksbaserade styrsystem.