経済的に動機付けられた俳優によって使用されるDoppelDridex
DoppelDridexは、いくつかのフィッシングキャンペーンを通じて積極的に拡散されている独特のマルウェアサンプルです。犯罪者は、Dridexマルウェアの修正バージョンを使用して、CobaltStrikeビーコンやGriefRansomwareなどの追加のペイロードを展開しています。名前が示すように、DoppelPaymerギャングはこのプロジェクトに所属しています。また、悪名高いDoppelPaymerランサムウェアのリブランドバージョンであるGriefRansomwareの背後にもあります。
犯罪者は、被害者に配信する悪意のあるファイルをホストするために合法的なサービスを悪用しています。現在のすべてのキャンペーンで、Discordapp.comおよびFiles.slack.comサービスで悪意のあるExcelファイルをホストしています。これらの正当なドメインは、ユーザー間でファイルを共有するためにSlackおよびDiscordアプリケーションによって使用されます。ただし、ファイルをホストするためにのみ使用します。加害者は依然としてフィッシングメールメッセージから被害者にアプローチします。
DoppelDridexはGriefランサムウェアで攻撃を終わらせる可能性があります
DoppelDridexマルウェアの使用は、別名DoppelSpiderで追跡されているギャングに起因します。彼らは最近、マルウェアを広めるためにDiscordとSlackの使用に重点を置いています。ペイロードをホストするために正当なサービスを使用することは、いくつかの理由からサイバー犯罪者にとって珍しいことではありません。
- ユーザーは、使い慣れたドメインをより信頼する傾向があります。
- ほとんどのファイアウォールとセキュリティ構成は、DiscordとSlackからのコンテンツをブロックしません。
言うまでもなく、DoppelSpiderギャングは経済的な動機を持っています。彼らは被害者から機密データを収集するために初期ペイロードを使用していますが、より多くの制御のために二次インプラントを配備することもよくあります。現在、Grief Ransomwareは、攻撃から利益を得るために使用する最後のペイロードであるように見えます。
使い慣れたドメインでホストされているファイルを自動的に信頼しないように注意してください。常に最初にセキュリティスキャナーで実行してください。犯罪者は依然として電子メールフィッシングに依存しているため、特に送信者がランダムに見える場合は、新しい未知の電子メールを操作するときに注意する必要があります。リンクをたどったり、添付ファイルを表示したりしないでください。