DoppelDridex используется финансово мотивированными актерами
DoppelDridex - это своеобразный образец вредоносного ПО, которое активно распространяется через несколько фишинговых кампаний. Преступники используют модифицированную версию Dridex Malware для развертывания дополнительных полезных нагрузок, таких как маяк Cobalt Strike и Grief Ransomware. Как следует из названия, банда DoppelPaymer связана с этим проектом. Они также стоят за Grief Ransomware, переименованной версией печально известной программы-вымогателя DoppelPaymer.
Преступники злоупотребляют законными службами для размещения вредоносных файлов, которые они доставляют жертвам. Во всех текущих кампаниях вредоносные файлы Excel размещаются на сервисах Discordapp.com и Files.slack.com. Эти легитимные домены используются приложениями Slack и Discord для обмена файлами между пользователями. Однако они используют их только для размещения файлов - злоумышленники по-прежнему обращаются к жертвам через фишинговые сообщения электронной почты.
DoppelDridex может прекратить свои атаки с помощью программы-вымогателя Grief
Использование DoppelDridex Malware приписывается банде, отслеживаемой под псевдонимом DoppelSpider. В последнее время они уделяют большое внимание использованию Discord и Slack для распространения своего вредоносного ПО. Использование легитимных сервисов для размещения полезной нагрузки - не редкость для киберпреступников по нескольким причинам:
- Пользователи склонны больше доверять знакомым доменам.
- Большинство конфигураций брандмауэра и безопасности не блокируют контент из Discord и Slack.
Излишне говорить, что банда DoppelSpider финансово мотивирована. Они используют начальную полезную нагрузку для сбора конфиденциальных данных от жертвы, но также часто развертывают вторичные имплантаты для большего контроля. В настоящее время похоже, что Grief Ransomware - это последняя полезная нагрузка, которую они используют для получения прибыли от своих атак.
Помните, что нельзя автоматически доверять файлам, размещенным в знакомых доменах - всегда сначала запускайте их через сканер безопасности. Поскольку злоумышленники по-прежнему полагаются на фишинг электронной почты, вы должны быть осторожны при взаимодействии с новыми и неизвестными электронными письмами, особенно если отправитель выглядит случайным. Не переходите по их ссылкам и не просматривайте их вложения.