DoppelDridex

DoppelDridex-Beschreibung

Es wurde beobachtet, dass eine neue Variante des Banking-Trojaners Dridex in Angriffskampagnen eingesetzt wird, die der Cybercrime-Gruppe DOPPEL SPIDER zugeschrieben werden. Die neue Version von Dridex heißt DoppelDridex und wird von bekannten Content Delivery Networks (CDNs) wie Slack und Discord geholt. Der Bedrohungsakteur setzte auch zusätzliche Payloads der zweiten Stufe wie Cobalt Strike ein, um seinen Hintertür-Zugang zu den kompromittierten Systemen sicherzustellen, potenzielle Möglichkeiten für seitliche Bewegungen innerhalb des angegriffenen Netzwerks zu gewährleisten und den Angriff durch den Einsatz der Grief Ransomware zu eskalieren.

Der Angriff beginnt mit der Verteilung von Köder-E-Mails mit beschädigten Microsoft Excel Binary Format (XLSB)-Dateien. Um die ahnungslosen Opfer zum Öffnen der Anhänge zu locken, enthalten die E-Mails in der Regel Texte, die darauf hinweisen, dass in den Dateien eine wichtige Rechnung oder steuerrelevante Informationen zum Benutzer enthalten sind. Das Auslösen der Ergebnisse des beschädigten Makros bei der Ausführung eines VBScripts ruft die DoppelDridex-Nutzlast von der Slack- oder Discord-CDN-Infrastruktur ab, die von den Angreifern kontrolliert wird.

Die Verwendung von Discord als Teil von Bedrohungskampagnen hat zugenommen, und es scheint, dass Cyberkriminelle auch versuchen, Slack für die gleichen Zwecke der Bereitstellung von Nutzlasten zu verwenden. Diese beliebten CDNs werden weniger wahrscheinlich von Proxys oder anderen netzwerkbasierten Kontrollsystemen blockiert.