Le pubblicazioni sono sospese, a meno di eventi particolari, dal 1 al 21 agosto. Nel frattempo stiamo preparando alcune novità per la seconda metà dell'anno.
Cybercrime, Dridex passa da false email di Amazon Gift Card
Analisi tecnica del Malware Hunter JAMESWT
Dridex si nasconde dietro a una falsa Gift Card di Amazon per diffondersi in una nuova campagna globale. Il link nei messaggi indirizza la vittima a una url (diversa per ogni mail) e scarica un SCR, un VBS o un doc, che attivano l’infezione del malware
Dridex sfrutta Amazon Gift Card per una nuova campagna globale. Le mail contengono i loghi ufficiali dell’azienda e invitano le potenziali vittime a scaricare la card tramite un link. Questo, però, se aperto re-indirizza l’utente a una url (diversa per ogni email) che fa scaricare in alcuni casi un SCR, in altri uno script Vbs e altre volte un documento Word. Concluso il download, si viene rimandati in automatico alla pagina di Amazon. Se il file scaricato viene eseguito si avvia l’infezione del malware. Nel caso del SCR è un archivio autoestraente che contiene al suo interno degli script che eseguono la Dll malevola, in chiaro o all’interno di un altro file compresso a volte protetto da password. Nel caso del VBS, le modalità sono le stesse: se eseguito, estrae da se stesso uno archivio compresso in formato zip con dentro la Dll. L’utente, peraltro, non vede nulla di tutto il processo ed è spinto a pensare che la finta Gift Card non funzioni, aspettando invano che si apra un PDF. Infine, nel caso del documento Word, una volta aperto in automatico scarica la DLL random da una lista di urls interni al documento senza che l’utente finale abbia evidenza di nulla.
Esempi della falsa mail sulla Amazon Gift Card
L’immagine del file doc
Il contenuto estratto da uno dei SCR scaricato tramite link della email
Il contenuto dello zip estratto dal VBS
Il contenuto dello zip estratto da uno dei SCR con relativo script e dll
Powershell eseguito dal DOC dove si rilevano gli urls contattati per scaricare la DLL
gli urls contattati dal DOC eseguito nella sandbox di anyrun
I C2