Dridex trolla funcionários com falsos e-mails de rescisão de empregos

Dridex trolla funcionários com falsos e-mails de rescisão de empregos.  Uma nova campanha de phishing de malware Dridex está usando e-mails falsos de rescisão de funcionários como uma isca para abrir um documento Excel malicioso, que então trolla a vítima com uma mensagem de saudação de temporada.

Dridex é um malware bancário espalhado por e-mails maliciosos, inicialmente desenvolvido para roubar credenciais de banco online. Com o tempo, os desenvolvedores desenvolveram o malware para usar módulos diferentes que fornecem comportamento malicioso adicional, como instalar outras cargas de malware, fornecer acesso remoto a agentes de ameaças ou se espalhar para outros dispositivos na rede.

Este malware foi criado por um grupo de hackers conhecido como Evil Corp, que está por trás de várias operações de ransomware, como BitPaymer, DoppelPaymer, variantes do WastedLocker e Grief. Devido a isso, as infecções por Dridex são conhecidas por levar a ataques de ransomware em redes comprometidas.

Pesquisadores de trolls afiliados da Dridex

Um afiliado da Dridex tem conduzido inúmeras campanhas maliciosas por e-mail nas últimas semanas, onde eles  rastreiam pesquisadores com endereços de e-mail e nomes de arquivos compostos de palavras racistas e anti-semitas.

Um pesquisador de segurança conhecido como  TheAnalyst descobriu que Dridex está novamente trollando as pessoas, mas desta vez são as vítimas que estão recebendo e-mails falsos de rescisão de funcionários.

Esses e-mails usam o assunto “Rescisão de funcionário” e informam ao destinatário que seu emprego está encerrando em 24 de dezembro de 2021 e que “esta decisão não é reversível“.

Os e-mails incluem uma planilha do Excel protegida por senha chamada ‘TermLetter.xls’ que supostamente contém informações sobre o motivo do disparo e a senha necessária para abrir o documento.

E-mail de phishing de rescisão de funcionário da Dridex
E-mail de phishing de rescisão de funcionário da Dridex

Quando o destinatário abre a planilha do Excel e insere a senha, um “Formulário de Ação de Pessoal” borrado é exibido, informando que ele deve “Ativar Conteúdo” para visualizá-lo corretamente.

Anexo malicioso do Excel
Anexo malicioso do Excel

Quando a vítima ativa o conteúdo, um pop-up será exibido rastreando a vítima com um alerta informando: “Merry X-Mas Dear Employees!

Distribuidor Dridex vítimas de trollagem
Distribuidor Dridex vítimas de trollagem

No entanto, sem o conhecimento da vítima, foram executadas macros maliciosas que criam e iniciam um arquivo HTA malicioso salvo na pasta C: \ ProgramData.

Este arquivo HTA de nome aleatório finge ser um arquivo RTF, mas contém VBScript malicioso que baixa o Dridex do Discord para infectar o dispositivo, ao mesmo tempo que deseja um Feliz Natal à vítima.

Arquivo HTA malicioso disfarçado como um arquivo RTF
Arquivo HTA malicioso disfarçado como um arquivo RTF

Como uma pequena “piada” extra, o TheAnalyst disse ao BleepingComputer que o arquivo Dridex baixado do Discord se chama ‘jesusismyfriend.bin‘.

Assim que o Dridex for lançado, ele começará a instalar malware adicional, roubando credenciais e executando outros comportamentos maliciosos.

Portanto, se você receber um e-mail informando que foi demitido antes do Natal, entre em contato com o departamento de recursos humanos ou empregador antes de abrir o e-mail.

Como as infecções por Dridex geralmente levam a ataques de ransomware, os administradores do Windows precisam estar em dia com os métodos de distribuição de malware mais recentes e treinar os funcionários para identificá-los também.

Fonte: BleepingComputer

Veja também:

Sobre mindsecblog 1883 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

6 Trackbacks / Pingbacks

  1. VMware é fortemente afetado pelo Log4j e apresenta falha crítica no UEM
  2. Dridex trolla funcionários com falsos e-mails de rescisão de empregos – Neotel Segurança Digital
  3. Microsoft reedita Bug do Milênio na virada para 2022
  4. Grupo hacker alega ter invadido sistemas da Claro, NET e Embratel
  5. Wireshark 3.6.1 - O que há de novo!
  6. França multa Google e Facebook em € 210 milhões

Deixe sua opinião!