Analisi tecnica del Malware Hunter JAMESWT

Dridex si nasconde dietro a una falsa Gift Card di Amazon per diffondersi in una nuova campagna globale. Il link nei messaggi indirizza la vittima a una url (diversa per ogni mail) e scarica un SCR, un VBS o un doc, che attivano l’infezione del malware

Dridex sfrutta Amazon Gift Card per una nuova campagna globale. Le mail contengono i loghi ufficiali dell’azienda e invitano le potenziali vittime a scaricare la card tramite un link. Questo, però, se aperto re-indirizza l’utente a una url (diversa per ogni email) che fa scaricare in alcuni casi un SCR, in altri uno script Vbs e altre volte un documento Word. Concluso il download, si viene rimandati in automatico alla pagina di Amazon. Se il file scaricato viene eseguito si avvia l’infezione del malware. Nel caso del SCR è un archivio autoestraente che contiene al suo interno degli script che eseguono la Dll malevola, in chiaro o all’interno di un altro file compresso a volte protetto da password. Nel caso del VBS, le modalità sono le stesse: se eseguito, estrae da se stesso uno archivio compresso in formato zip con dentro la Dll. L’utente, peraltro, non vede nulla di tutto il processo ed è spinto a pensare che la finta Gift Card non funzioni, aspettando invano che si apra un PDF. Infine, nel caso del documento Word, una volta aperto in automatico scarica la DLL random da una lista di urls interni al documento senza che l’utente finale abbia evidenza di nulla.

Esempi della falsa mail sulla Amazon Gift Card

L’immagine del file doc

Il contenuto estratto da uno dei SCR scaricato tramite link della email

Il contenuto dello zip estratto dal VBS

Il contenuto dello zip estratto da uno dei SCR con relativo script e dll

Powershell eseguito dal DOC dove si rilevano gli urls contattati per scaricare la DLL

gli urls contattati dal DOC eseguito nella sandbox di anyrun

I C2