L’efficacia di una campagna hacker molto spesso si basa sul rendere verosimile ciò che si sostiene o si propone alla vittima potenziale, in modo da ottenere dalla stessa la collaborazione all’avvio dell’infezione digitale. Tale routine, che rientra nel campo della “ingegneria sociale“, è stata constata di recente, secondo CyberSecurity360, in una nuova ondata di phishing avente per protagonista il bankware Dridex.
Realizzato dalla crew di hacker russi Evil Corp, sul cui capo pende una taglia di 5 milioni di dollari offerta dal Dipartimento di Stato americano, il malware Dridex si basa sul codice del “progenitore” Bugat e, dal 2015, data della sua creazione, procede a rubare le credenziali bancarie e a mettere in atto attacchi di tipo ransomware (sequestro di dati o dispositivi, chiedendo riscatti in criptovaluta per lo sblocco). Negli scorsi mesi, dimostrando una perfetta assonanza con i temi dell’attualità, i criminali in questione hanno diffuso Dridex attraverso finte fatture realizzate col software di fatturazione cloud QuickBooks, o sfruttando il successo della serie TV Squid Games, in onda su Netflix.
Ora, la nuova ondata volta a ridiffondere Dridex sta puntando sul tema delle delocalizzazioni, in ragione delle quali molte aziende licenziano in tronco i propri dipendenti, anche via mail o Zoom, per poi trasferire la produzione ove più hanno convenienza: nello specifico, diversi utenti stanno ricevendo finte mail di licenziamento – con decorso proprio dalla vigilia di Natale – che recano come allegato (TermLetter.xls) un file di Excel, con i presunti termini del provvedimento.
Molti utenti, ricevendo tale mail, hanno aperto la stessa e cliccato sull’allegato, dopo aver inserito la password fornita loro nel corso della missiva: il file si è così aperto su un “Modulo di azione del personale” che, però, apparendo sfocato, richiedeva di abilitare il contenuto per essere visualizzato. Tale richiesta, per altro accompagnata dal sarcastico messaggio “Buon Natale, cari dipendenti“, abilitava le macro che scaricavano, nella cartella C:ProgramData, da un canale Discord, un file dannoso (jesusismyfriend.bin) che si faceva passare per un documento di testo in formato RTF.
Una volta autoavviatosi il file in oggetto, Dridex poteva scaricare altri malware, consentire l’accesso remoto ai criminali, installare altro malware, diffondersi nella rete locale su altri dispositivi e, soprattutto, esfiltrare le credenziali dell’utente.