DanDrop

DanDrop est un outil de dépose des logiciels malveillants, qui fait partie de l'arsenal d'un groupe APT (Advanced Persistent Threat) appelé Lyceum ou Hexane, par la communauté de cybersécurité. DanDrop est livré dans la première étape de la chaîne d'attaque de Lyceum et est responsable de la création d'une copie du principal outil malveillant des hackers - un cheval de Troie d'accès à distance appelé DanBot .

Pour livrer DanDrop sur l'ordinateur ciblé, il est intégré aux documents Microsoft Office en tant que macro VBA. Les documents portant le compte-gouttes sont conçus pour être aussi attrayants que possible avec des noms tels que «Les pires mots de passe de 2017» et «Les dix meilleures pratiques de sécurité». Des documents entièrement rédigés en arabe ont également été détectés.

Le malware lui-même se compose de plusieurs fonctions VBA. La fonction principale est déclenchée lorsque l'utilisateur ciblé ouvre un document MS corrompu et est programmé pour effectuer une multitude d'actions sur le système compromis. Tout d'abord, il définit la visibilité de certaines feuilles avec le document, après quoi il procède à la création d'un Users \ Public \ PublicPics dans le répertoire MyDocuments. L'étape suivante consiste à déchiffrer les données encodées en Base64 du document et à les stocker dans deux variables nommées ert et cnf. Les variables sont ensuite écrites dans deux fichiers - ATrce.e et ATrce.ex, après quoi les fichiers reçoivent les nouveaux noms ATrce.exe et ATrce.exe.config. Enfin, il appelle la fonction SdT qui peut démarrer ultérieurement la charge utile DanBot abandonnée.