DoppelDridex

DoppelDridex说明

已观察到 Dridex 银行木马的新变种部署在归因于 DOPPEL SPIDER 网络犯罪组织的攻击活动中。新版本的Dridex被命名为 DoppelDridex,取自著名的内容交付网络 (CDN),例如 Slack 和 Discord。威胁行为者还部署了额外的第二阶段有效载荷,例如Cobalt Strike ,以确保他们能够通过后门访问受感染系统、在受攻击的网络中进行横向移动的潜在机会,并通过部署Grief Ransomware升级攻击。

攻击始于分发带有损坏的 Microsoft Excel 二进制格式 (XLSB) 文件的诱饵电子邮件。为了引诱毫无戒心的受害者打开附件,电子邮件通常带有文本,暗示与用户相关的重要发票或税务相关信息包含在文件中。在执行 VBScript 时触发损坏的宏的结果会从攻击者控制的 Slack 或 Discord CDN 基础设施中检索 DoppelDridex 负载。

使用 Discord 作为威胁活动的一部分一直在增加,网络犯罪分子似乎也试图将 Slack 用于暂存有效载荷的相同目的。这些流行的 CDN 不太可能被代理或其他基于网络的控制系统阻止。