有经济动机的演员使用的 DoppelDridex
DoppelDridex 是一种特殊的恶意软件样本,它正在通过多个网络钓鱼活动积极传播。犯罪分子正在使用 Dridex 恶意软件的修改版本来部署额外的有效载荷——例如 Cobalt Strike 信标和 Grief Ransomware。顾名思义,DoppelPaymer 团伙隶属于该项目。他们还支持 Grief Ransomware,这是臭名昭著的 DoppelPaymer Ransomware 的更名版本。
犯罪分子滥用合法服务来托管他们提供给受害者的恶意文件。在当前的所有活动中,他们都在 Discordapp.com 和 Files.slack.com 服务上托管恶意 Excel 文件。 Slack 和 Discord 应用程序使用这些合法域在用户之间共享文件。然而,他们只使用它们来托管文件——犯罪者仍然通过网络钓鱼电子邮件接近受害者。
DoppelDridex 可能会通过 Grief Ransomware 结束其攻击
DoppelDridex 恶意软件的使用归因于以别名 DoppelSpider 跟踪的团伙。最近,他们一直非常关注使用 Discord 和 Slack 来传播他们的恶意软件。由于以下几个原因,网络犯罪分子使用合法服务来托管有效载荷的情况并不少见:
- 用户往往更信任熟悉的域。
- 大多数防火墙和安全配置不会阻止来自 Discord 和 Slack 的内容。
不用说,DoppelSpider 团伙是出于经济动机。他们使用初始有效载荷从受害者那里收集敏感数据,但他们也经常部署二级植入物以获得更多控制。目前,似乎 Grief Ransomware 是他们用来从攻击中获利的最终有效载荷。
请记住不要自动信任托管在熟悉域上的文件——始终首先通过安全扫描程序运行它们。由于犯罪分子仍然依赖电子邮件网络钓鱼,因此在与新的和未知的电子邮件交互时应该小心,尤其是当发件人出现随机时。不要点击他们的链接或查看他们的附件。