Analisi tecnica del Malware Hunter JAMESWT

Nuova campagna Dridex anche in Italia si basa su Quickbooks e link nelle mail. Aprendo il collegamento, si scarica un file il quale contatta un url da una lista interna ed effettua il download della dll che avvia l’infezione del malware

Dridex torna a colpire oggi con una nuova campagna malspam, che attacca anche l’Italia e sfrutta quickbooks e un link nella mail. Questo, una volta eseguito, fa scaricare un documento doc. Il file, se aperto, scarica la dll da una lista interna e avvia la catena d’infezione del malware. Questa nuova tattica ha l’obiettivo di ingannare gli anti virus e far sì che la vittima effettui il download del file malevolo.  Dridex è un Trojan bancario molto pericoloso usato dal cybercrime, che è da tempo protagonista di campagne in tutto il mondo soprattutto a tema corrieri. I bersagli sono soprattutto le aziende, ma non solo.

La falsa mail di Quickbooks

Il documento doc

Gli urls da cui si scarica la dll

I C2

Powershell script decodificato con urls contattati per scaricare la DLL