DoppelDridex

DoppelDridex說明

已觀察到 Dridex 銀行木馬的新變種部署在歸因於 DOPPEL SPIDER 網絡犯罪組織的攻擊活動中。新版本的Dridex被命名為 DoppelDridex,取自著名的內容交付網絡 (CDN),例如 Slack 和 Discord。威脅行為者還部署了額外的第二階段有效載荷,例如Cobalt Strike ,以確保其後門訪問受感染系統、在受攻擊網絡內橫向移動的潛在機會,並通過部署Grief Ransomware升級攻擊。

攻擊始於分髮帶有損壞的 Microsoft Excel 二進制格式 (XLSB) 文件的誘餌電子郵件。為了引誘毫無戒心的受害者打開附件,電子郵件通常帶有文本,暗示與用戶相關的重要發票或稅務相關信息包含在文件中。在執行 VBScript 時觸發損壞的宏的結果會從攻擊者控制的 Slack 或 Discord CDN 基礎設施中檢索 DoppelDridex 負載。

使用 Discord 作為威脅活動的一部分一直在增加,而且網絡犯罪分子似乎也試圖將 Slack 用於暫存有效載荷的相同目的。這些流行的 CDN 不太可能被代理或其他基於網絡的控制系統阻止。