0
0
Dridex trolla funcionários com falsos e-mails de rescisão de empregos. Uma nova campanha de phishing de malware Dridex está usando e-mails falsos de rescisão de funcionários como uma isca para abrir um documento Excel malicioso, que então trolla a vítima com uma mensagem de saudação de temporada.
Dridex é um malware bancário espalhado por e-mails maliciosos, inicialmente desenvolvido para roubar credenciais de banco online. Com o tempo, os desenvolvedores desenvolveram o malware para usar módulos diferentes que fornecem comportamento malicioso adicional, como instalar outras cargas de malware, fornecer acesso remoto a agentes de ameaças ou se espalhar para outros dispositivos na rede.
Este malware foi criado por um grupo de hackers conhecido como Evil Corp, que está por trás de várias operações de ransomware, como BitPaymer, DoppelPaymer, variantes do WastedLocker e Grief. Devido a isso, as infecções por Dridex são conhecidas por levar a ataques de ransomware em redes comprometidas.
Pesquisadores de trolls afiliados da Dridex
Um afiliado da Dridex tem conduzido inúmeras campanhas maliciosas por e-mail nas últimas semanas, onde eles rastreiam pesquisadores com endereços de e-mail e nomes de arquivos compostos de palavras racistas e anti-semitas.
Um pesquisador de segurança conhecido como TheAnalyst descobriu que Dridex está novamente trollando as pessoas, mas desta vez são as vítimas que estão recebendo e-mails falsos de rescisão de funcionários.
Esses e-mails usam o assunto “Rescisão de funcionário” e informam ao destinatário que seu emprego está encerrando em 24 de dezembro de 2021 e que “esta decisão não é reversível“.
Os e-mails incluem uma planilha do Excel protegida por senha chamada ‘TermLetter.xls’ que supostamente contém informações sobre o motivo do disparo e a senha necessária para abrir o documento.
Quando o destinatário abre a planilha do Excel e insere a senha, um “Formulário de Ação de Pessoal”borrado é exibido, informando que ele deve “Ativar Conteúdo” para visualizá-lo corretamente.
Quando a vítima ativa o conteúdo, um pop-up será exibido rastreando a vítima com um alerta informando: “Merry X-Mas Dear Employees!“
No entanto, sem o conhecimento da vítima, foram executadas macros maliciosas que criam e iniciam um arquivo HTA malicioso salvo na pasta C: \ ProgramData.
Este arquivo HTA de nome aleatório finge ser um arquivo RTF, mas contém VBScript malicioso que baixa o Dridex do Discord para infectar o dispositivo, ao mesmo tempo que deseja um Feliz Natal à vítima.
Como uma pequena “piada” extra, o TheAnalyst disse ao BleepingComputer que o arquivo Dridex baixado do Discord se chama ‘jesusismyfriend.bin‘.Assim que o Dridex for lançado, ele começará a instalar malware adicional, roubando credenciais e executando outros comportamentos maliciosos.
Portanto, se você receber um e-mail informando que foi demitido antes do Natal, entre em contato com o departamento de recursos humanos ou empregador antes de abrir o e-mail.
Como as infecções por Dridex geralmente levam a ataques de ransomware, os administradores do Windows precisam estar em dia com os métodos de distribuição de malware mais recentes e treinar os funcionários para identificá-los também.
FONTE: MINUTO DA SEGURANÇA