【安全资讯】研究人员披露传播Dridex的网络钓鱼活动

猎影实验室 2021-12-23 07:08:57 2727人浏览

引言

12月22日,研究人员披露了传播Dridex恶意软件的网络钓鱼活动,电子邮件以“解雇员工”为主题,诱使受害者打开恶意Excel文档。

 

 

简况

Dridex 是一种通过恶意电子邮件传播的银行恶意软件,最初用于窃取在线银行凭据。此后,开发人员不断发展恶意软件,以使用不同的模块来提供额外的恶意功能,如安装其他恶意软件有效载荷、提供对攻击者的远程访问或传播到网络上的其他设备。

 

 

Dridex恶意软件由名为 Evil Corp 的黑客组织创建,该组织支持各种勒索软件操作,如 BitPaymer、DoppelPaymer、WastedLocker 变体和 Grief。因此,Dridex 感染会进一步导致对受感染网络的勒索软件攻击。

 

 

电子邮件使用“员工终止”为主题,通知收件人称对他们的雇佣将于 2021 年 12 月 24 日结束,并且“此决定不可撤销”。邮件中包含一个带有密码保护的 Excel 电子表格,该表格名为“TermLetter.xls”,其中包含伪造的被解雇的原因以及打开文档所需的密码。邮件如下图:

 

当收件人打开 Excel 电子表格并输入密码时,会显示一个模糊的“人事操作表”,必须“启用内容”才能正确查看该表单。当受害者启用内容时,文档将显示一个弹出窗口,内容为“亲爱的员工圣诞快乐!”,如下图:

 

此时恶意宏已被执行,创建并启动恶意 HTA 文件。这个随机命名的HTA文件伪造成一个RTF文件,但包含了一个恶意的VBScript,可以从Discord下载Dridex以感染设备。Dridex 启动后,它将开始安装其他恶意软件、窃取凭据并执行其他恶意行为。

 

 

总结

研究人员提醒称,如果在圣诞节前收到一封说明被解雇的电子邮件,请务必在打开电子邮件之前联系人力资源部门或雇主,以免被 Dridex 感染。

 

 

钓鱼攻击 Dridex 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。