Ai cybercriminali di certo non mancano ingegno e creatività, questo va loro riconosciuto. Un’ennesima testimonianza è quella che giunge dal ricercatore 604Kuzushi, in riferimento a una nuova campagna per la diffusione del malware Dridex: fa leva sull’attenzione mediatica riservata alla variante Omicron del virus responsabile di COVID-19.
Il tuo collega è positivo
, ma è un malware
Ecco come funziona: la potenziale vittima riceve nella propria casella di posta elettronica un messaggio fasullo che l’avvisa di essere stata a contatto con un collega a cui è stato diagnosticato il contagio, invitando ad aprire il file in allegato per ulteriori informazioni. Riportiamo di seguito il testo in forma tradotta e uno screenshot.
Questa lettera ti informa che sei stato esposto a un collega risultato positivo al test per la variante Omicron di COVID-19, nel periodo compreso tra il 18 e il 20 dicembre. Per favore, consulta i dettagli nel documento allegato.
C’è anche la password necessaria per aprire il documento Excel allegato. Questo, a sua volta, chiede poi di autorizzare l’esecuzione delle macro incluse per rimuovere l’effetto di sfocatura che altrimenti impedisce di leggerlo integralmente. L’azione, neanche a dirlo, dà il via alla catena di eventi che culminano con l’infezione del dispositivo e con l’esposizione delle informazioni in esso contenute. A rendere il tutto ancora più deplorevole il pop-up visualizzato una volta fatto breccia, con un fantomatico numero da chiamare per mettersi in contatto con un’agenzia funebre.
Dridex, nato come trojan bancario alla ricerca delle credenziali di accesso ai sistemi di pagamento, è evoluto nel corso del tempo acquisendo l’abilità di diffondersi nel network a cui è connessa la vittima e fungendo da porta d’accesso per l’esecuzione di attacchi ransomware.
Stando ai dati raccolti, il responsabile sembra essere lo stesso che nei giorni scorsi ha fatto parlare di sé per una campagna che nasconde il malware in una falsa email di licenziamento. Altri metodi impiegati in passato per la diffusione del codice maligno hanno fatto leva sulla fantomatica seconda stagione di Squid Game e sull’invio di fatture QuickBooks fittizie.