Iscriviti

Finte mail di licenziamento diffondono il virus Dridex

Nelle scorse ore, fine mail di licenziamento con decorso immediato diffondono, via allegato, il malware Dridex, un bankware che ruba le credenziali dell'utente. Ecco come funziona, nel dettaglio, questa nuova e pericolosa campagna di phishing.

Software e App
Pubblicato il 23 dicembre 2021, alle ore 19:30

Mi piace
2
0
Finte mail di licenziamento diffondono il virus Dridex

L’efficacia di una campagna hacker molto spesso si basa sul rendere verosimile ciò che si sostiene o si propone alla vittima potenziale, in modo da ottenere dalla stessa la collaborazione all’avvio dell’infezione digitale. Tale routine, che rientra nel campo della “ingegneria sociale“, è stata constata di recente, secondo CyberSecurity360, in una nuova ondata di phishing avente per protagonista il bankware Dridex.

Realizzato dalla crew di hacker russi Evil Corp, sul cui capo pende una taglia di 5 milioni di dollari offerta dal Dipartimento di Stato americano, il malware Dridex si basa sul codice del “progenitore” Bugat e, dal 2015, data della sua creazione, procede a rubare le credenziali bancarie e a mettere in atto attacchi di tipo ransomware (sequestro di dati o dispositivi, chiedendo riscatti in criptovaluta per lo sblocco). Negli scorsi mesi, dimostrando una perfetta assonanza con i temi dell’attualità, i criminali in questione hanno diffuso Dridex attraverso finte fatture realizzate col software di fatturazione cloud QuickBooks, o sfruttando il successo della serie TV Squid Games, in onda su Netflix

Ora, la nuova ondata volta a ridiffondere Dridex sta puntando sul tema delle delocalizzazioni, in ragione delle quali molte aziende licenziano in tronco i propri dipendenti, anche via mail o Zoom, per poi trasferire la produzione ove più hanno convenienza: nello specifico, diversi utenti stanno ricevendo finte mail di licenziamento – con decorso proprio dalla vigilia di Natale – che recano come allegato (TermLetter.xls) un file di Excel, con i presunti termini del provvedimento.

Molti utenti, ricevendo tale mail, hanno aperto la stessa e cliccato sull’allegato, dopo aver inserito la password fornita loro nel corso della missiva: il file si è così aperto su un “Modulo di azione del personale” che, però, apparendo sfocato, richiedeva di abilitare il contenuto per essere visualizzato. Tale richiesta, per altro accompagnata dal sarcastico messaggio “Buon Natale, cari dipendenti“, abilitava le macro che scaricavano, nella cartella C:ProgramData, da un canale Discord, un file dannoso (jesusismyfriend.bin) che si faceva passare per un documento di testo in formato RTF

Una volta autoavviatosi il file in oggetto, Dridex poteva scaricare altri malware, consentire l’accesso remoto ai criminali, installare altro malware, diffondersi nella rete locale su altri dispositivi e, soprattutto, esfiltrare le credenziali dell’utente

Video interessanti:
Cosa ne pensa l’autore
Fabrizio Ferrara

Fabrizio Ferrara - Caspita: questi hacker ne sanno una più del diavolo. Trovo davvero inquietante il modo in cui stanno sempre "sul pezzo" per rendere credibili le loro comunicazioni: nel caso specifico, ricevendo una mail simile, è sempre bene contattare personalmente il responsabile risorse umane della propria azienda, prima di saltare a pericolose, in tutti i sensi, conclusioni.

Lascia un tuo commento
Commenti

Non ci sono ancora commenti su questo contenuto. Scrivi la tua opinione per primo!