有經濟動機的演員使用的 DoppelDridex
DoppelDridex 是一種特殊的惡意軟件樣本,它正在通過多個網絡釣魚活動積極傳播。犯罪分子正在使用 Dridex 惡意軟件的修改版本來部署額外的有效載荷——例如 Cobalt Strike 信標和 Grief Ransomware。顧名思義,DoppelPaymer 團伙隸屬於該項目。他們還支持 Grief Ransomware,這是臭名昭著的 DoppelPaymer Ransomware 的更名版本。
犯罪分子濫用合法服務來託管他們提供給受害者的惡意文件。在當前的所有活動中,他們都在 Discordapp.com 和 Files.slack.com 服務上託管惡意 Excel 文件。 Slack 和 Discord 應用程序使用這些合法域在用戶之間共享文件。然而,他們只使用它們來託管文件——犯罪者仍然通過網絡釣魚電子郵件接近受害者。
DoppelDridex 可能會通過 Grief Ransomware 結束其攻擊
DoppelDridex 惡意軟件的使用歸因於以別名 DoppelSpider 跟踪的團伙。最近,他們一直非常關注使用 Discord 和 Slack 來傳播他們的惡意軟件。由於以下幾個原因,網絡犯罪分子使用合法服務來託管有效載荷的情況並不少見:
- 用戶往往更信任熟悉的域。
- 大多數防火牆和安全配置不會阻止來自 Discord 和 Slack 的內容。
不用說,DoppelSpider 團伙是出於經濟動機。他們使用初始有效載荷從受害者那裡收集敏感數據,但他們也經常部署二級植入物以獲得更多控制。目前,似乎 Grief Ransomware 是他們用來從攻擊中獲利的最終有效載荷。
請記住不要自動信任託管在熟悉域上的文件——始終首先通過安全掃描程序運行它們。由於犯罪分子仍然依賴電子郵件網絡釣魚,因此在與新的和未知的電子郵件交互時應該小心,尤其是當發件人出現隨機時。不要點擊他們的鏈接或查看他們的附件。