skip to Main Content

Cybercrime, la campagna Dridex torna in Italia con un nuovo approccio

Analisi tecnica a cura del Malware Hunter JAMESWT

Il cyber security hunter JAMESWT: Il cybercrime riporta in Italia la campagna Dridex con un nuovo approccio. Il link collegato al tracciamento di una falsa spedizione FedEx contiene un file zippato, da cui si avvia la catena d’infezione del malware

La campagna Dridex del cybercrime torna in Italia con un nuovo approccio grazie all’esca di FedEx. Nel nostro paese sono giunte alcune mail in cui si afferma che la propria spedizione è partita e si fornisce il codice di tracciamento collegato a un link. Cliccandoci si scarica un archivio .zip, che contiene un falso file SCR auto-istallante. Al suo interno, tra i vari file, ci sono l’eseguibile di winrar vero e proprio (PLS.exe) e un falso file di testo (SLP.txt), che in realtà è un RAR protetto da password, contenuta in dsep.bat, da cui viene estratta la DLL che poi infetta il computer con il malware, un trojan bancario già molto usato in campagne internazionali in corso. Peraltro, parallelamente viene creato un altro bar (lll.bat non contenuto nel SCR) per configurare e lanciare la DLL, cancellando le sue tracce. Ogni email contiene un link diverso da cui permette di scaricare la DLL una volta sola. Cliccando nuovamente sul link, infatti, l’utente viene ridiretto su un sito di altro tipo (https://www.solvay[.com/en/)

La mail-trappola con il tracciamento e il link

Il contenuto del falso file SCR

L’unzip della DLL

Il load della DLL

Gli Indicatori di Compromissione (IoC)

Some Urls from Emails
https://realestate[.reklamoj[.al/app.php
https://specpro[.solutions/app.php
https://manage[.bachatshop[.pk/app.php
https://sabsjagdalpur[.org/app.php
https://turismobullileosanfabian[.cl/app.php
https://eb3tly[.online/app.php
https://link[.maisaquihost[.com.br/app.php
https://new2[.mirajcar[.com/app.php
https://bigbusinesscall[.geteasycustomers[.com/app.php
https://dsimportaciones[.com/app.php
https://wp[.ootw[.co[.za/app.php
https://petroservice[.[com.br/app.php
https://trainersbusinessinabox[.com/app.php
https://siropmarket[.ru/app.php
https://adv[.epostoday[.uk/app.php
https://leandrokblo[.com/app.php
https://wildlifer[.in/app.php
https://mobileunlockeronline[.com/app.php
https://sims[.evakodine[.com/app.php
https://madanikutubkhana[.hovata.com/app.php
https://mooigeleekliniek[.co[.za/app.php
https://crystal[.flexiclouding[.com/app.php
https://sintecor[.cl/app.php
ZIP
MD5
a3b18c467e1d9e43ba85a2ccdcfaf83d
SCR
MD5
d594e8a2098a81c9bfa24f3c17c992e6
PLS.TXT
MD5
24fdf4791a3efa0178e677b0e03c12b1
dsep.bat
MD5
9318a04c2d4d80719382a7e73c28736b
lll.bat
MD5
70c1b14895a29502d3e94e395606f82d
DLL
MD5
031f318c8ab815cda0d447904a925cf7
e35c61ebe91c031d45c2ae5fee1ce298
acfe91ad1baf9ce432450d6bb0558e2b
Back To Top