详细内容或原文请订阅后点击阅览

DoppelDridex 通过 Slack 和 Discord 传播

2021年9月27日 23:00 33 Comments
X Twitter Instagram Mail

摘要 最近的几次网络钓鱼活动试图通过在 Slack 和 Discord CDN 上部署的有效载荷来传播 Dridex 银行木马的变种。这是 DoppelDridex,是原始 Dridex 恶意软件的修改版本。它由以经济为动机的电子犯罪对手 DOPPEL SPIDER 运营。额外的工具通常作为辅助工具提供……阅读

来源:Security Soup _恶意软件分析

摘要

近期的几起网络钓鱼活动试图通过在 Slack 和 Discord CDN 上部署的有效载荷来传播 Dridex 银行木马的变种。这是 DoppelDridex,是原始 Dridex 恶意软件的修改版本。它由以经济为动机的电子犯罪对手 DOPPEL SPIDER 运营。其他工具通常作为辅助有效载荷(例如 Cobalt Strike)提供,可用于进一步的远程访问、横向移动和准备部署 Grief 勒索软件。

DoppelDridex Grief 勒索软件

传播此恶意软件变种的近期活动使用了一种技术,该技术利用带有 Excel 4.0 工作表样式宏的附件来获取托管在流行消息传递 CDN(例如 discordapp[.]com 和 files.slack[.]com)域上的初始有效载荷。这些网站很可能吸引威胁行为者来放置有效载荷,因为它们可能受到代理或其他基于网络的控件的信任或允许。网络钓鱼活动中的恶意文档通常也以 Microsoft Excel 二进制格式 (XLSB) 构建,这可能会给一些用于自动分析的工具带来问题。

Microsoft Excel 二进制格式

在这篇博客中,我将回顾一个最近的 DoppelDridex Excel 恶意文档样本,扩展名为 .xlsb,并研究一些以 TTP 和 IOC 形式提取有用信息的分析方法。

传播和感染链

DoppelDridex 感染链
DoppelDridex 感染链

静态样本分析

SHA256:91164696edc4efba635e5246a48693e8fd75db2eef8e06e354848365b9fead55 (VT LINK)

VT LINK 不鼓励
隐藏工作表宏
隐藏工作表宏
工作表宏单元格
工作表宏单元格
Didier Stevens BIFF Decalage
自动分析的问题
自动分析的问题
DissectMalware XLMMacroDeobfuscator
使用 XLMMacroDeobfuscator 成功提取
使用 XLMMacroDeobfuscator 成功提取
RKzEcSN = RKzEcSN & Chr(Round(VYITkd - 1022,0))
RKzEcSN = RKzEcSN & Chr(Round(VYITkd - 1022,0)) 我的 GitHub 在这里
使用 Python 解码数组
Excel RKzEcSN 分析的 Dridex com 感染 工作 CDN 网络 恶意软件 可能 自动 有效载荷 活动 工具 DoppelDridex 问题 技术 Microsoft