【安全资讯】研究人员披露传播Dridex的网络钓鱼活动

引言

12月22日，研究人员披露了传播Dridex恶意软件的网络钓鱼活动，电子邮件以“解雇员工”为主题，诱使受害者打开恶意Excel文档。

简况

Dridex 是一种通过恶意电子邮件传播的银行恶意软件，最初用于窃取在线银行凭据。此后，开发人员不断发展恶意软件，以使用不同的模块来提供额外的恶意功能，如安装其他恶意软件有效载荷、提供对攻击者的远程访问或传播到网络上的其他设备。

Dridex恶意软件由名为 Evil Corp 的黑客组织创建，该组织支持各种勒索软件操作，如 BitPaymer、DoppelPaymer、WastedLocker 变体和 Grief。因此，Dridex 感染会进一步导致对受感染网络的勒索软件攻击。

电子邮件使用“员工终止”为主题，通知收件人称对他们的雇佣将于 2021 年 12 月 24 日结束，并且“此决定不可撤销”。邮件中包含一个带有密码保护的 Excel 电子表格，该表格名为“TermLetter.xls”，其中包含伪造的被解雇的原因以及打开文档所需的密码。邮件如下图：

当收件人打开 Excel 电子表格并输入密码时，会显示一个模糊的“人事操作表”，必须“启用内容”才能正确查看该表单。当受害者启用内容时，文档将显示一个弹出窗口，内容为“亲爱的员工圣诞快乐！”，如下图：

此时恶意宏已被执行，创建并启动恶意 HTA 文件。这个随机命名的HTA文件伪造成一个RTF文件，但包含了一个恶意的VBScript，可以从Discord下载Dridex以感染设备。Dridex 启动后，它将开始安装其他恶意软件、窃取凭据并执行其他恶意行为。

总结

研究人员提醒称，如果在圣诞节前收到一封说明被解雇的电子邮件，请务必在打开电子邮件之前联系人力资源部门或雇主，以免被 Dridex 感染。