Une nouvelle campagne d’hameçonnage de logiciels malveillants Dridex utilise de faux e-mails de licenciement d’employés comme leurre pour ouvrir un document Excel malveillant, qui trolle ensuite la victime avec un message d’accueil de saison.
Dridex est un malware bancaire propagé par des e-mails malveillants qui a été initialement développé pour voler les informations d’identification bancaires en ligne. Au fil du temps, les développeurs ont fait évoluer les logiciels malveillants pour utiliser différents modules qui fournissent un comportement malveillant supplémentaire, tels que l’installation d’autres charges utiles de logiciels malveillants, la fourniture d’un accès à distance aux acteurs de la menace ou la propagation à d’autres appareils sur le réseau.
Ce malware a été créé par un groupe de piratage connu sous le nom d’Evil Corp, qui est à l’origine de diverses opérations de ransomware, telles que BitPaymer, DoppelPaymer, les variantes de WastedLocker et Grief. Pour cette raison, les infections Dridex sont connues pour conduire à des attaques de ransomware sur les réseaux compromis.
Chercheurs trolls affiliés à Dridex, victimes
Un affilié de Dridex a mené de nombreuses campagnes d’e-mails malveillants au cours des dernières semaines où ils chercheurs de trolls avec des adresses e-mail et des noms de fichiers composés de propos racistes et antisémites.
Un chercheur en sécurité connu sous le nom de L’analyste a découvert que Dridex trolle à nouveau les gens, mais cette fois, ce sont les victimes qui reçoivent de faux e-mails de licenciement d’employés.
Ces e-mails utilisent l’objet « Résiliation d’un employé » et indiquent au destinataire que son emploi se termine le 24 décembre 2021 et que « cette décision n’est pas réversible ».
Les e-mails incluent une feuille de calcul protégée par mot de passe Excel jointe nommée « TermLetter.xls » qui contiendrait prétendument des informations sur les raisons pour lesquelles ils sont licenciés et le mot de passe requis pour ouvrir le document.
Lorsque le destinataire ouvre la feuille de calcul Excel et entre le mot de passe, un « formulaire d’action du personnel » flou s’affiche, indiquant qu’il doit « activer le contenu » pour le voir correctement.
Lorsque la victime active le contenu, une fenêtre contextuelle s’affiche pour suivre la victime avec une alerte indiquant « Merry X-Mas Chers employés ! »
Cependant, à l’insu de la victime, des macros malveillantes ont été exécutées pour créer et lancer un fichier HTA malveillant enregistré dans le dossier C:ProgramData.
Ce fichier HTA au nom aléatoire prétend être un fichier RTF mais contient un VBScript malveillant qui télécharge Dridex à partir de Discord pour infecter l’appareil, tout en souhaitant à la victime un joyeux Noël.
Comme petite « blague » supplémentaire, TheAnalyst a déclaré à EZpublish-france.fr que le fichier Dridex téléchargé à partir de Discord s’appelait « jesusismyfriend.bin ».
Une fois Dridex lancé, il commencera à installer des logiciels malveillants supplémentaires, à voler des informations d’identification et à exécuter d’autres comportements malveillants.
Par conséquent, si vous recevez un e-mail indiquant que vous êtes licencié juste avant Noël, assurez-vous de contacter votre service des ressources humaines ou votre employeur avant d’ouvrir l’e-mail.
Comme les infections Dridex conduisent généralement à des attaques de ransomware, les administrateurs Windows doivent rester au courant des dernières méthodes de distribution de logiciels malveillants et former les employés sur la façon de les repérer également.