Sei licenziato! (invece è il malware Dridex)

Sei licenziato! (invece è il malware Dridex)

Occhio alla finta lettera di licenziamento recapitata via email, in realtà nasconde un malware: ai cybercriminali di certo non manca l'inventiva.
Sei licenziato! (invece è il malware Dridex)
Occhio alla finta lettera di licenziamento recapitata via email, in realtà nasconde un malware: ai cybercriminali di certo non manca l'inventiva.

Peggio di essere infettati da un malware vedendo compromessi i propri dispositivi, i propri conti e i propri dati, c’è forse solo il licenziamento a pochi giorni da Natale. La nuova campagna di phishing che mira alla diffusione del codice maligno Dridex mette insieme le due disgrazie. A scoprirla il ricercatore TheAnalyst.

Il malware nella finta email di licenziamento

Le vittime ricevono nella casella di posta elettronica un messaggio fasullo che li informa di una fantomatica interruzione del rapporto di lavoro in data 24 dicembre, con in allegato un documento Excel corrotto dal nome TermLetter.xls e la password necessaria per la consultazione. Una volta aperto, all’utente viene chiesto di abilitare l’esecuzione del contenuto in modo da poter vedere un modulo altrimenti sfocato, per poi trovarsi di fronte a un pop-up di auguri: Buon Natale caro dipendente!. Gli screenshot nel post allegato qui sotto.

In realtà, la beffa è un’altra: non appena concessa l’autorizzazione viene creato un file HTA con codice VBScript mascherato da RTF nella cartella “C:\ProgramData” solitamente nascosta dal sistema operativo. Prende poi il via il download di Dridex da server remoto.

Il malware è stato in origine creato dalla gang di cybercriminali nota come Evil Corp, all’attivo anche sul fronte ransomware con campagne legate a BitPaymer, DoppelPaymer, WastedLocker variants e Grief. Inizialmente confezionato come trojan in grado di sottrarre le credenziali di accesso ai servizi bancari, è evoluto col passare del tempo ampliando il proprio raggio d’azione, abilitando l’accesso remoto ai dispositivi infettati e acquisendo l’abilità di diffondersi all’interno dei network colpiti.

Dridex è stato protagonista di recente anche di una campagna malevola a tema Squid Game, sfruttando la notorietà della serie Netflix, e di un’altra che ha visto la distribuzione di finte fatture QuickBooks. Stando a una recente analisi condivisa da CERT-AgID, è tra le principali minacce informatiche in circolazione nel nostro paese, insieme ad Agent Tesla e LokBot.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
23 dic 2021
Link copiato negli appunti