Новая фишинговая кампания Dridex использует поддельные электронные письма с увольнением сотрудников в качестве приманки для открытия вредоносного документа Excel, который затем троллит жертву приветственным сообщением сезона.
Dridex — это банковское вредоносное ПО, которое распространяется через вредоносные электронные письма и изначально было разработано для кражи учетных данных онлайн-банкинга. Со временем разработчики усовершенствовали вредоносное ПО, чтобы использовать различные модули, которые обеспечивают дополнительное вредоносное поведение, такое как установка других вредоносных программ, предоставление удаленного доступа к злоумышленникам или распространение на другие устройства в сети.
Это вредоносное ПО было создано хакерской группой, известной как Evil Corp, которая стоит за различными операциями с программами-вымогателями, такими как BitPaymer, DoppelPaymer, варианты WastedLocker и Grief. В связи с этим известно, что заражение Dridex приводит к атакам программ-вымогателей на скомпрометированные сети.
Партнерская программа Dridex троллит исследователей, жертв
Филиал Dridex проводил многочисленные вредоносные кампании по электронной почте за последние несколько недель, в ходе которых они троллили исследователей адресами электронной почты и именами файлов, состоящими из расистских и антисемитских слов.
Исследователь безопасности, известный как TheAnalyst, обнаружил, что Dridex снова троллит людей, но на этот раз жертвам отправляют фальшивые электронные письма об увольнении сотрудников.
В этих письмах используется тема «Увольнение сотрудника» и сообщается получателю, что его трудоустройство заканчивается 24 декабря 2021 года и что «это решение необратимо».
К электронным письмам прилагается защищенная паролем электронная таблица Excel с именем TermLetter.xls, которая якобы содержит информацию о причинах увольнения и пароль, необходимый для открытия документа.
Когда получатель открывает электронную таблицу Excel и вводит пароль, отображается размытая «Форма действий персонала», в которой говорится, что он должен «Включить содержимое», чтобы просмотреть его должным образом.
Когда жертва активирует контент, появится всплывающее окно с предупреждением: «С Рождеством, дорогие сотрудники!».
Однако без ведома жертвы были выполнены вредоносные макросы, которые создают и запускают вредоносный HTA-файл, сохраненный в папке C: \ ProgramData.
Этот файл HTA со случайным именем выдает себя за RTF-файл, но содержит вредоносный сценарий VBScript, который загружает Dridex из Discord для заражения устройства, при этом желая жертве счастливого Рождества.
В качестве небольшой дополнительной «шутки» TheAnalyst сообщил BleepingComputer, что файл Dridex, загруженный из Discord, называется jesusismyfriend.bin.
После запуска Dridex начнет установку дополнительных вредоносных программ, кражу учетных данных и другие вредоносные действия.
Поэтому, если вы получите электронное письмо о том, что вас уволили прямо перед Рождеством, обязательно обратитесь в отдел кадров или к работодателю, прежде чем открывать письмо.
Поскольку заражение Dridex обычно приводит к атакам программ-вымогателей, администраторам Windows необходимо следить за новейшими методами распространения вредоносных программ и обучать сотрудников тому, как их обнаруживать.
Последнее обновление 8 месяцев назад — GameZoom
