Εάν λάβετε ένα email για την απόλυση απο την εργασίας σας ακριβώς πριν από τα Χριστούγεννα, θα πρέπει να είστε ιδιαίτερα προσεκτικοί. Υπάρχει μια νέα επίθεση Dridex σε εκστρατεία ηλεκτρονικού ψαρέματος της , η οποία προφανώς στέλνει τέτοια ψεύτικα email τερματισμού απασχόλησης στα πιθανά θύματά της. Αυτή η επίθεση phishing ανακαλύφθηκε από τον ερευνητή ασφαλείας και χρήστη του Twitter @ffforward.
Μπορείτε να δείτε την εικόνα email παρακάτω που συνοδεύεται από ένα συνημμένο αρχείο Excel με το όνομα “TermLetter”, πιθανότατα ως συντομογραφία του Termination Letter.
Το email αναφέρει ότι η απασχόληση του ενδιαφερομένου λήγει στις 24 Δεκεμβρίου, μια μέρα πριν από τα Χριστούγεννα, και προορίζεται να προκαλέσει σοκ για τον αναγνώστη, ώστε το θύμα να κατεβάσει και να ανοίξει το αρχείο Excel με τον παρεχόμενο κωδικό πρόσβασης.
Στη συνέχεια, το Excel ζητά από το θύμα να ενεργοποιήσει το περιεχόμενο και εμφανίζεται ένα μήνυμα “Καλά Χριστούγεννα” για να προσθέσει αλάτι στις πληγές του αγνώστου θύματος.
 |  |
Όταν το θύμα ενεργοποιεί το περιεχόμενο, δημιουργείται ένα κακόβουλο αρχείο HTA με VBScript που είναι μεταμφιεσμένο σε αρχείο RTF και εκκινείται μέσα στο C:\ProgramData φάκελο. Αυτός ο φάκελος είναι γενικά κρυφός και πρέπει να τον αποκρύψετε για να δείτε τα περιεχόμενα μέσα.
Αυτό το αρχείο κακόβουλου λογισμικού HTA συνεχίζει να κατεβάζει το Dridex από τον διακομιστή Dridex Discord. Προφανώς, το κακόβουλο αρχείο ονομάστηκε έτσι από τους παράγοντες της απειλής ως “jesusismyfriend.bin”. Μετά την εγκατάσταση, το Dridex προχωρά σε κλοπή διαπιστευτηρίων και λήψη άλλου κακόβουλου λογισμικού στη μολυσμένη συσκευή.
