DanDrop

DanDrop ist ein Malware-Dropper-Tool, das Teil des Arsenals einer Advanced Persistent Threat (APT) -Gruppe namens Lyceum oder Hexane der Cybersecurity-Community ist. DanDrop wird in der ersten Phase der Angriffskette von Lyceum ausgeliefert und ist für die Erstellung einer Kopie des wichtigsten Malware-Tools der Hacker verantwortlich - eines RAS- Trojaners namens DanBot.

Um DanDrop auf den Zielcomputer zu übertragen, wird es als VBA-Makro in Microsoft Office-Dokumente eingebettet. Die Dokumente mit der Pipette sind so verlockend wie möglich gestaltet und enthalten Namen wie "Die schlechtesten Passwörter von 2017" und "Top Ten-Sicherheitspraktiken". Dokumente, die vollständig auf Arabisch geschrieben wurden, wurden ebenfalls erkannt.

Die Malware selbst besteht aus mehreren VBA-Funktionen. Die Hauptfunktion wird ausgelöst, wenn der Zielbenutzer ein beschädigtes MS-Dokument öffnet und so programmiert ist, dass er eine Vielzahl von Aktionen auf dem gefährdeten System ausführt. Zunächst wird die Sichtbarkeit bestimmter Blätter mit dem Dokument festgelegt. Anschließend wird ein Benutzer \ Public \ PublicPics im Verzeichnis MyDocuments erstellt. Der nächste Schritt besteht darin, Base64-codierte Daten aus dem Dokument zu entschlüsseln und in zwei Variablen mit den Namen ert und cnf zu speichern. Die Variablen werden dann in zwei Dateien geschrieben - ATrce.e und ATrce.ex. Danach erhalten die Dateien die neuen Namen ATrce.exe und ATrce.exe.config. Schließlich wird die SdT-Funktion aufgerufen, mit der die abgelegte DanBot-Nutzlast zu einem späteren Zeitpunkt gestartet werden kann.