DoppelDridex używany przez aktorów zmotywowanych finansowo
DoppelDridex to specyficzna próbka złośliwego oprogramowania, która jest aktywnie rozpowszechniana za pośrednictwem kilku kampanii phishingowych. Przestępcy wykorzystują zmodyfikowaną wersję Dridex Malware do wdrażania dodatkowych ładunków – takich jak sygnał nawigacyjny Cobalt Strike i Grief Ransomware. Jak sama nazwa wskazuje, z tym projektem związany jest gang DoppelPaymer. Stoją również za Grief Ransomware, zmienioną wersją niesławnego DoppelPaymer Ransomware.
Przestępcy nadużywają legalnych usług do hostowania szkodliwych plików, które dostarczają ofiarom. We wszystkich obecnych kampaniach hostują złośliwe pliki Excela w usługach Discordapp.com i Files.slack.com. Te legalne domeny są używane przez aplikacje Slack i Discord do udostępniania plików między użytkownikami. Jednak używają ich tylko do hostowania plików – sprawcy nadal kontaktują się z ofiarami za pomocą wiadomości phishingowych.
DoppelDridex może zakończyć swoje ataki za pomocą oprogramowania ransomware Grief
Używanie złośliwego oprogramowania DoppelDridex przypisywane jest gangowi śledzonemu pod pseudonimem DoppelSpider. Ostatnio mocno skupiają się na wykorzystaniu Discorda i Slacka do rozprzestrzeniania swojego złośliwego oprogramowania. Korzystanie z legalnych usług do hostowania ładunków nie jest rzadkością wśród cyberprzestępców z kilku powodów:
- Użytkownicy mają tendencję do większego zaufania do znajomych domen.
- Większość konfiguracji zapory i zabezpieczeń nie blokuje zawartości z Discord i Slack.
Nie trzeba dodawać, że gang DoppelSpider jest zmotywowany finansowo. Używają początkowego ładunku do zbierania poufnych danych od ofiary, ale często wdrażają również dodatkowe implanty, aby uzyskać większą kontrolę. Obecnie wygląda na to, że Grief Ransomware jest ostatnim ładunkiem, którego używają, aby czerpać zyski z ataków.
Pamiętaj, aby nie ufać automatycznie plikom hostowanym w znanych domenach – zawsze najpierw przepuszczaj je przez skaner bezpieczeństwa. Ponieważ przestępcy nadal polegają na phishingu e-mailowym, powinieneś zachować ostrożność podczas interakcji z nowymi i nieznanymi wiadomościami e-mail, zwłaszcza jeśli nadawca pojawia się losowo. Nie podążaj za ich linkami ani nie przeglądaj ich załączników.