Вредоносное ПО Dridex троллит сотрудников фальшивыми сообщениями об увольнении

12
Колледж Линкольна закрывается после 157 лет работы из-за атаки вымогателей

Новая фишинговая кампания Dridex использует поддельные электронные письма с увольнением сотрудников в качестве приманки для открытия вредоносного документа Excel, который затем троллит жертву приветственным сообщением сезона.

Dridex — это банковское вредоносное ПО, которое распространяется через вредоносные электронные письма и изначально было разработано для кражи учетных данных онлайн-банкинга. Со временем разработчики усовершенствовали вредоносное ПО, чтобы использовать различные модули, которые обеспечивают дополнительное вредоносное поведение, такое как установка других вредоносных программ, предоставление удаленного доступа к злоумышленникам или распространение на другие устройства в сети.

Это вредоносное ПО было создано хакерской группой, известной как Evil Corp, которая стоит за различными операциями с программами-вымогателями, такими как BitPaymer, DoppelPaymer, варианты WastedLocker и Grief. В связи с этим известно, что заражение Dridex приводит к атакам программ-вымогателей на скомпрометированные сети.

Партнерская программа Dridex троллит исследователей, жертв

Филиал Dridex проводил многочисленные вредоносные кампании по электронной почте за последние несколько недель, в ходе которых они троллили исследователей адресами электронной почты и именами файлов, состоящими из расистских и антисемитских слов.

Исследователь безопасности, известный как TheAnalyst, обнаружил, что Dridex снова троллит людей, но на этот раз жертвам отправляют фальшивые электронные письма об увольнении сотрудников.

В этих письмах используется тема «Увольнение сотрудника» и сообщается получателю, что его трудоустройство заканчивается 24 декабря 2021 года и что «это решение необратимо».

К электронным письмам прилагается защищенная паролем электронная таблица Excel с именем TermLetter.xls, которая якобы содержит информацию о причинах увольнения и пароль, необходимый для открытия документа.

Когда получатель открывает электронную таблицу Excel и вводит пароль, отображается размытая «Форма действий персонала», в которой говорится, что он должен «Включить содержимое», чтобы просмотреть его должным образом.

Когда жертва активирует контент, появится всплывающее окно с предупреждением: «С Рождеством, дорогие сотрудники!».

Однако без ведома жертвы были выполнены вредоносные макросы, которые создают и запускают вредоносный HTA-файл, сохраненный в папке C: \ ProgramData.

Этот файл HTA со случайным именем выдает себя за RTF-файл, но содержит вредоносный сценарий VBScript, который загружает Dridex из Discord для заражения устройства, при этом желая жертве счастливого Рождества.

В качестве небольшой дополнительной «шутки» TheAnalyst сообщил BleepingComputer, что файл Dridex, загруженный из Discord, называется jesusismyfriend.bin.

После запуска Dridex начнет установку дополнительных вредоносных программ, кражу учетных данных и другие вредоносные действия.

Поэтому, если вы получите электронное письмо о том, что вас уволили прямо перед Рождеством, обязательно обратитесь в отдел кадров или к работодателю, прежде чем открывать письмо.

Поскольку заражение Dridex обычно приводит к атакам программ-вымогателей, администраторам Windows необходимо следить за новейшими методами распространения вредоносных программ и обучать сотрудников тому, как их обнаруживать.

Последнее обновление 8 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии