Algunos ciberdelincuentes no tienen escrúpulos de ningún tipo y usan las técnicas más sucias para hacerse con el dinero y la información personal de sus víctimas. Un ejemplo de ello lo tenemos en un malware que vuelve a dar guerra y que juega con una de las cosas más sagradas para las personas: el trabajo.
Según ha advertido un investigador de seguridad apodado TheAnalyst el malware Dridex está activo nuevamente y está propagándose mediante campañas de email falsas de despido de empleados. Estos se usan como cebo para que los receptores abran un documento de Excel malicioso.
Los correos electrónicos indicaban a los destinatarios que su empleo finalizaría el pasado 24 de diciembre y que la decisión era irrevocable.
La hoja de Excel que contenía estaba protegida y requería el ingreso de una contraseña, mostrándose un formulario borroso que señalaba que se debía habilitar el contenido para verlo correctamente.
Si la víctima daba a Habilitar contenido se mostraba una ventana emergente para trolear al usuario que indicaba: ¡Felz Navidad, Estimados Empleados! Sin embargo, en segundo plano se ejecutaban macros maliciosas y lanzaba un archivo HTA malicioso.
Este archivo HTA tiene unun nombre aleatorio y pretende ser un archivo RTF, aunque tiene un VBScript para descargar Dridex de Discord con el fin de comprometer el dispositivo, junto con un mensaje troll.
Log4j y Dridex, un combo perfecto
En las últimas semanas se ha encontrado a un afiliado de Dridex que operaba múltiples campañas de correo electrónico en las que controlaba a los investigadores usando direcciones de email y nombres de archivo cargados de palabras antisemitasy racistas.
Por otro lado, hace unos días se comprobó que algunos actores de amenazas estaban usando la vulnerabilidad Log4j para instalar Dridex.