DanDrop

DanDrop es una herramienta de descarga de malware, parte del arsenal de un grupo de amenazas persistentes avanzadas (APT) llamado Lyceum o Hexane, por la comunidad de ciberseguridad. DanDrop se entrega en la primera etapa de la cadena de ataque de Lyceum y es responsable de crear una copia de la principal herramienta de malware de los piratas informáticos: un troyano de acceso remoto llamado DanBot .

Para entregar DanDrop en la computadora de destino, está incrustado en los documentos de Microsoft Office como una macro VBA. Los documentos que llevan el cuentagotas están diseñados para ser lo más atractivos posible con nombres como 'Las peores contraseñas de 2017' y 'Las diez mejores prácticas de seguridad'. También se han detectado documentos escritos en árabe íntegramente.

El malware en sí consta de varias funciones de VBA. La función principal se activa cuando el usuario objetivo abre un documento MS corrupto y está programado para realizar una multitud de acciones en el sistema comprometido. Primero, establece la visibilidad de ciertas hojas con el documento, luego de lo cual procede a crear un Users \ Public \ PublicPics dentro del directorio MyDocuments. El siguiente paso es descifrar los datos codificados en Base64 del documento y almacenarlos dentro de dos variables llamadas ert y cnf. Luego, las variables se escriben en dos archivos: ATrce.e y ATrce.ex, después de lo cual los archivos reciben los nuevos nombres de ATrce.exe y ATrce.exe.config. Finalmente, llama a la función SdT que puede iniciar la carga útil de DanBot descargada en un momento posterior.