Un distributeur de malware pour le malware bancaire Dridex a joué avec les victimes et les chercheurs au cours des dernières semaines. Le dernier exemple est une campagne de phishing qui nargue les victimes avec un numéro d’assistance téléphonique d’assistance funéraire COVID-19.
Dridex est un malware bancaire distribué via des e-mails de phishing contenant des pièces jointes Word ou Excel malveillantes. Lorsque ces pièces jointes sont ouvertes et que les macros sont activées, le logiciel malveillant sera téléchargé et installé sur l’appareil de la victime.
Une fois installé, Dridex tentera de voler les informations d’identification bancaires en ligne, de se propager à d’autres machines et de fournir potentiellement un accès réseau à distance pour les attaques de ransomware.
Variante COVID-19 Omicron utilisée comme leurre
Au cours des dernières semaines, l’un des distributeurs d’e-mails de phishing de Dridex s’est amusé à jouer avec les victimes et les chercheurs.
Cela a été vu pour la première fois lorsque l’acteur menaçant a commencé à troller les chercheurs en sécurité en utilisant leurs noms combinés à des commentaires racistes comme noms de fichiers malveillants et adresses e-mail.
Plus tôt cette semaine, l’acteur de la menace a spammé de fausses lettres de licenciement d’employés qui affichaient une alerte indiquant « Merry X-Mas Chers employés ! », après avoir infecté leur appareil.
Dans une nouvelle campagne de phishing découverte par MalwareHunterTeam et 604Kuzushi, ce même acteur menaçant est passé au niveau supérieur en envoyant des e-mails avec un sujet de « résultat du test COVID-19 » qui indique que le destinataire a été exposé à un collègue qui a été testé positif à la variante Omicron COVID-19.
« Cette lettre a pour but de vous informer que vous avez été exposé à un collègue qui a été testé positif pour la variante OMICRON de COVID-19 entre le 18 et le 20 décembre », lit-on dans le nouvel e-mail de phishing ci-dessous.
« Veuillez consulter les détails dans le document ci-joint. »
L’e-mail comprend une pièce jointe Excel protégée par mot de passe et le mot de passe nécessaire pour ouvrir le document. Une fois le mot de passe saisi, le destinataire voit un document COVID-19 flou et est invité à « Activer le contenu » pour le voir.
Source : BleepingOrdinateur
Pour ajouter l’insulte à la blessure, une fois les macros activées et l’appareil infecté, l’auteur de la menace se moque de ses victimes en affichant une alerte contenant le numéro de téléphone de la « ligne d’assistance d’assistance funéraire COVID-19 ».
Source : BleepingOrdinateur
La variante COVID-19 étant très contagieuse et se propageant rapidement dans le monde entier, les e-mails de phishing concernant la variante Omicron deviennent populaires et sont probablement très efficaces pour diffuser des logiciels malveillants.
Cela est particulièrement vrai si la campagne de phishing prétend provenir du service des ressources humaines d’une entreprise et cible les employés de la même entreprise.
Comme les campagnes de phishing de Dridex utilisent actuellement des pièces jointes protégées par mot de passe, les entreprises doivent former leurs employés à repérer et à éviter ces types d’attaques.
Comme toujours, si vous recevez des e-mails inattendus ou contenant des pièces jointes inhabituelles, contactez toujours votre administrateur réseau ou d’autres personnes sur le lieu de travail pour déterminer si l’e-mail est légitime.