DoppelDridex

DoppelDridex Açıklama

Dridex bankacılık Truva Atı'nın yeni bir çeşidinin, DOPPEL SPIDER siber suç grubuna atfedilen saldırı kampanyalarında kullanıldığı gözlemlendi. Dridex'in yeni sürümü DoppelDridex olarak adlandırıldı ve Slack ve Discord gibi iyi bilinen içerik dağıtım ağlarından ( CDN'ler) alındı. Tehdit aktörü ayrıca, Cobalt Strike gibi ek ikinci aşama yükleri konuşlandırarak, güvenlikleri ihlal edilmiş sistemlere arka kapı erişimini, ihlal edilen ağ içinde yanal hareket için potansiyel fırsatları ve Grief Ransomware'i dağıtarak saldırıyı tırmandırdı.

Saldırı, bozuk Microsoft Excel Binary Format (XLSB) dosyalarını taşıyan yem e-postalarının dağıtılmasıyla başlar. Şüphelenmeyen kurbanları ekleri açmaya ikna etmek için, e-postalar genellikle dosyalarda kullanıcıyla ilgili önemli bir fatura veya vergiyle ilgili bilgilerin bulunduğunu ima eden metinler taşır. Bir VBScript yürütülürken bozuk makronun sonuçlarının tetiklenmesi, saldırganlar tarafından kontrol edilen Slack veya Discord CDN altyapısından DoppelDridex yükünü alır.

Tehdit kampanyalarının bir parçası olarak Discord kullanımı artıyor ve görünen o ki siber suçlular da Slack'i aynı yükleri hazırlama amaçları için kullanmaya çalışıyor. Bu popüler CDN'lerin proxy'ler veya diğer ağ tabanlı kontrol sistemleri tarafından engellenmesi daha az olasıdır.