DoppelDridex

Description de DoppelDridex

Une nouvelle variante du cheval de Troie bancaire Dridex a été observée dans des campagnes d'attaque attribuées au groupe de cybercriminalité DOPPEL SPIDER. La nouvelle version de Dridex a été nommée DoppelDridex et est récupérée à partir de réseaux de diffusion de contenu (CDN) bien connus, tels que Slack et Discord. L'acteur de la menace a également déployé des charges utiles de deuxième étape supplémentaires, telles que Cobalt Strike, garantissant leur accès par porte dérobée aux systèmes compromis, des opportunités potentielles de mouvement latéral au sein du réseau violé et une escalade de l'attaque en déployant le Grief Ransomware.

L'attaque commence par la distribution d'e-mails-appâts contenant des fichiers Microsoft Excel Binary Format (XLSB) corrompus. Pour inciter les victimes sans méfiance à ouvrir les pièces jointes, les e-mails contiennent généralement des textes impliquant qu'une facture importante ou des informations fiscales liées à l'utilisateur sont contenues dans les fichiers. Déclencher les résultats de la macro corrompue dans l'exécution d'un VBScript récupère la charge utile DoppelDridex de l'infrastructure CDN Slack ou Discord contrôlée par les attaquants.

L'utilisation de Discord dans le cadre de campagnes menaçantes est en augmentation, et il semble que les cybercriminels essaient également d'utiliser Slack aux mêmes fins de mise en place de charges utiles. Ces CDN populaires sont moins susceptibles d'être bloqués par des proxys ou d'autres systèmes de contrôle basés sur le réseau.