DoppelDridex

Se ha observado que una nueva variante del troyano bancario Dridex se implementa en campañas de ataque atribuidas al grupo de ciberdelincuencia DOPPEL SPIDER. La nueva versión de Dridex se llamó DoppelDridex y se obtiene de redes de entrega de contenido (CDN) conocidas, como Slack y Discord. El actor de amenazas también implementó cargas útiles adicionales de segunda etapa, como Cobalt Strike, lo que garantiza su acceso por la puerta trasera a los sistemas comprometidos, las oportunidades potenciales de movimiento lateral dentro de la red violada y la escalada del ataque mediante la implementación del Grief Ransomware.

El ataque comienza con la distribución de correos electrónicos de cebo que contienen archivos de formato binario de Microsoft Excel (XLSB) dañados. Para atraer a las víctimas desprevenidas a que abran los archivos adjuntos, los correos electrónicos suelen llevar textos que implican que dentro de los archivos se encuentra una factura importante o información relacionada con los impuestos relacionada con el usuario. Activar los resultados de la macro dañada en la ejecución de un VBScript recupera la carga útil DoppelDridex de la infraestructura CDN de Slack o Discord controlada por los atacantes.

El uso de Discord como parte de campañas amenazantes ha ido en aumento, y parece que los ciberdelincuentes también intentan usar Slack para los mismos fines de organizar cargas útiles. Es menos probable que estos CDN populares sean bloqueados por proxies u otros sistemas de control basados en la red.