Yeni bir Dridex kötü amaçlı yazılım kimlik avı kampanyası, kötü niyetli bir Excel belgesini açmak için sahte çalışan fesih e-postalarını kullanıyor ve ardından kurbanı bir sezonun tebrik mesajıyla trolliyor.
Dridex, başlangıçta çevrimiçi bankacılık kimlik bilgilerini çalmak için geliştirilmiş, kötü amaçlı e-postalar yoluyla yayılan bir bankacılık kötü amaçlı yazılımıdır. Zamanla, geliştiriciler kötü amaçlı yazılımı, diğer kötü amaçlı yazılım yüklerini yüklemek, tehdit aktörlerine uzaktan erişim sağlamak veya ağdaki diğer cihazlara yayılmak gibi ek kötü niyetli davranışlar sağlayan farklı modüller kullanacak şekilde geliştirdiler.
Bu kötü amaçlı yazılım, BitPaymer, DoppelPaymer, WastedLocker çeşitleri ve Grief gibi çeşitli fidye yazılımı operasyonlarının arkasında bulunan Evil Corp olarak bilinen bir bilgisayar korsanlığı grubu tarafından oluşturuldu. Bu nedenle, Dridex enfeksiyonlarının, güvenliği ihlal edilmiş ağlarda fidye yazılımı saldırılarına yol açtığı bilinmektedir.
Dridex üyesi troller araştırmacıları, kurbanları
Bir Dridex iştiraki, son birkaç hafta içinde çok sayıda kötü niyetli e-posta kampanyası yürütüyor. trol araştırmacıları ırkçı ve antisemitik kelimelerden oluşan e-posta adresleri ve dosya adlarıyla.
olarak bilinen bir güvenlik araştırmacısı TheAnalyst keşfetti Dridex’in yine insanları trollediği, ancak bu sefer sahte çalışan fesih e-postaları gönderilen kurbanlar.
Bu e-postalar “Çalışan Fesih” konusunu kullanır ve alıcıya işlerinin 24 Aralık 2021’de sona ereceğini ve “bu kararın geri alınamayacağını” söyler.
E-postalar, neden kovuldukları ve belgeyi açmak için gereken parola hakkında bilgi içeren ‘TermLetter.xls’ adlı ekli bir Excel parola korumalı elektronik tabloyu içeriyor.
Alıcı Excel elektronik tablosunu açıp şifreyi girdiğinde, düzgün bir şekilde görüntülemek için “İçeriği Etkinleştirmeleri” gerektiğini söyleyen bulanık bir “Personel Eylem Formu” görüntülenecektir.
Kurban İçeriği Etkinleştirdiğinde, kurbanı “Mutlu X-Mas Sevgili Çalışanlarımız!” uyarısıyla trolleyen bir açılır pencere görüntülenecektir.
Ancak, kurbanın haberi olmadan, C:ProgramData klasörüne kaydedilen kötü amaçlı bir HTA dosyası oluşturan ve başlatan kötü amaçlı makrolar yürütülmüştür.
Bu rastgele adlandırılmış HTA dosyası, bir RTF dosyası gibi görünüyor, ancak cihaza bulaşmak için Dridex’i Discord’dan indiren kötü niyetli VBScript içeriyor ve tüm bunlar kurbana Mutlu Noeller diliyor.
Fazladan bir “şaka” olarak TheAnalyst, BleepingComputer’a Discord’dan indirilen Dridex dosyasının adının ‘jesusismyfriend.bin’ olduğunu söyledi.
Dridex başlatıldığında, ek kötü amaçlı yazılım yüklemeye, kimlik bilgilerini çalmaya ve diğer kötü niyetli davranışlarda bulunmaya başlayacaktır.
Bu nedenle, Noel’den hemen önce kovulduğunuza dair bir e-posta alırsanız, e-postayı açmadan önce insan kaynakları departmanınıza veya işvereninize ulaştığınızdan emin olun.
Dridex enfeksiyonları genellikle fidye yazılımı saldırılarına yol açtığından, Windows yöneticilerinin en son kötü amaçlı yazılım dağıtım yöntemlerini takip etmeleri ve çalışanları da bunları nasıl tespit edecekleri konusunda eğitmeleri gerekir.