Peggio di essere infettati da un malware vedendo compromessi i propri dispositivi, i propri conti e i propri dati, c’è forse solo il licenziamento a pochi giorni da Natale. La nuova campagna di phishing che mira alla diffusione del codice maligno Dridex mette insieme le due disgrazie. A scoprirla il ricercatore TheAnalyst.
Il malware nella finta email di licenziamento
Le vittime ricevono nella casella di posta elettronica un messaggio fasullo che li informa di una fantomatica interruzione del rapporto di lavoro in data 24 dicembre, con in allegato un documento Excel corrotto dal nome TermLetter.xls e la password necessaria per la consultazione. Una volta aperto, all’utente viene chiesto di abilitare l’esecuzione del contenuto in modo da poter vedere un modulo altrimenti sfocato, per poi trovarsi di fronte a un pop-up di auguri: Buon Natale caro dipendente!
. Gli screenshot nel post allegato qui sotto.
I'm telling you, this #Dridex affiliate is just running one huge social experiment… pic.twitter.com/vSveXBeRqt
— Tommy M (TheAnalyst) (@ffforward) December 22, 2021
In realtà, la beffa è un’altra: non appena concessa l’autorizzazione viene creato un file HTA con codice VBScript mascherato da RTF nella cartella “C:\ProgramData” solitamente nascosta dal sistema operativo. Prende poi il via il download di Dridex da server remoto.
Il malware è stato in origine creato dalla gang di cybercriminali nota come Evil Corp, all’attivo anche sul fronte ransomware con campagne legate a BitPaymer, DoppelPaymer, WastedLocker variants e Grief. Inizialmente confezionato come trojan in grado di sottrarre le credenziali di accesso ai servizi bancari, è evoluto col passare del tempo ampliando il proprio raggio d’azione, abilitando l’accesso remoto ai dispositivi infettati e acquisendo l’abilità di diffondersi all’interno dei network colpiti.
Dridex è stato protagonista di recente anche di una campagna malevola a tema Squid Game, sfruttando la notorietà della serie Netflix, e di un’altra che ha visto la distribuzione di finte fatture QuickBooks. Stando a una recente analisi condivisa da CERT-AgID, è tra le principali minacce informatiche in circolazione nel nostro paese, insieme ad Agent Tesla e LokBot.