skip to Main Content

Cybercrime, Dridex cambia esca: è il turno di DHL

Analisi tecnica del Malware Hunter JAMESWT

La nuova esca della campagna malspam di Dridex è DHL. L’allegato .xmls nella mail del cybercrime contatta alcune urls contenute all’interno per scaricare la DLL e portare a termine l’infezione del malware

Dridex cambia esca per la sua campagna malspam: dalle false fatture di aziende passa a quelle di DHL. In queste ore circolano diverse email su una presunta invoice, scritte in inglese e con un documento .xlsm in allegato. Questo, se scaricato e aperto, mostra un’immagine della fattura fake. In realtà, però, è configurato per contattare alcune urls contenute al suo interno. Ciò al fine di effettuare il download di una DLL, che porta a termine la catena d’infezione del malware. Si tratta di un trojan bancario molto pericoloso che da tempo è protagonista di campagne in tutto il mondo.

L’email-trappola (thanks to Cocaman)

La falsa ricevuta di DHL

Gli Indicatori di Compromissione (IoC)

Xlsm MD5

155c990dfb8e9456d6b44f3c01a3699b

Dll  MD5

206803daf8a8c1459c8d597e5250b993

Dll dropped from

https://seminelogistics[.com/zsjm5zv7k.jpg

https://lab2.e-century[.pl/llzdgu8.pdf

https://webpower.pdc-ind[.com/p49tb4.rar

https://thulilekhanyile[.co[.za/tdatkb8d.zip

https://safer.[com[.gt/nb5dagc5.jpg

https://2203610.projects-airnetwork.[asia/a90f1ofe.txt

https://zaaher.[com/tb6lhp2w.pdf

https://weddingcakes.buffaloonlinetest[.co[.uk/pbke90uuk.txt

https://flowpressurewashing.[com/ggc1ljvn.rar

https://raybadenergy.[com/pl4bjbk.rar

https://therightcyclingcompany.[com/nobc7tpjo.txt

https://2203610rwd.projects-airnetwork.[asia/iihpacd.jpg

https://twomissa.[com/bdodfvr1.rar

https://eddyvanijken.[nanopoint.[nl/oipl8e.gif

https://rop.technomatica.[ovh/qgmltk.zip

https://ws4polisi.pdc-ind[.com/gpce8r54.gif

https://poligrafiascali.[com/gqd0p1o.rar

https://galileedream[.hu/e82011.txt

https://ramec.[com[.au/gayrmv4m2.txt

https://rubbermounted.[com[.au/uua8c4dp.jpg

https://visualhome[.cl/yphtdaej.zip

https://adm.snpsresidential.[com/btskh3o.zip

https://push.qnotice.[com/g0tjfzqv.gif

https://nemzetiaranyintezet.[com/hookt7ndw.txt

https://tensopret.[com/cmgvr3.rar

https://count.mail.[163.[com[.impactmedfoundation.[com/fn58ds.pdf

https://igniter.fobbly.[net/a50po6.pdf

Back To Top