L’allegato img dell’email contiene un file exe: il malware. I dati rubati sono esfiltrati via email.
Cybercrime, Dridex attacca ancora anche in Italia via Quickbooks

Analisi tecnica del Malware Hunter JAMESWT
Nuova campagna Dridex anche in Italia si basa su Quickbooks e link nelle mail. Aprendo il collegamento, si scarica un file il quale contatta un url da una lista interna ed effettua il download della dll che avvia l’infezione del malware
Dridex torna a colpire oggi con una nuova campagna malspam, che attacca anche l’Italia e sfrutta quickbooks e un link nella mail. Questo, una volta eseguito, fa scaricare un documento doc. Il file, se aperto, scarica la dll da una lista interna e avvia la catena d’infezione del malware. Questa nuova tattica ha l’obiettivo di ingannare gli anti virus e far sì che la vittima effettui il download del file malevolo. Dridex è un Trojan bancario molto pericoloso usato dal cybercrime, che è da tempo protagonista di campagne in tutto il mondo soprattutto a tema corrieri. I bersagli sono soprattutto le aziende, ma non solo.
La falsa mail di Quickbooks
Il documento doc
Gli urls da cui si scarica la dll
I C2
Powershell script decodificato con urls contattati per scaricare la DLL