Dridex Omicron provoca phishing con número de asistencia funeraria

Un distribuidor de malware para el malware bancario Dridex ha estado jugando con las víctimas y los investigadores durante las últimas semanas. El último ejemplo es una campaña de phishing que se burla de las víctimas con un número de asistencia funeraria COVID-19.

Dridex es un malware bancario que se distribuye a través de correos electrónicos de phishing que contienen archivos adjuntos maliciosos de Word o Excel. Cuando se abren estos archivos adjuntos y se habilitan las macros, el malware se descargará e instalará en el dispositivo de la víctima.

Una vez instalado, Dridex intentará robar credenciales bancarias en línea, propagarse a otras máquinas y potencialmente proporcionar acceso remoto a la red para ataques de ransomware.

Variante de COVID-19 Omicron utilizada como cebo

Durante las últimas semanas, uno de los distribuidores de correo electrónico de phishing de Dridex ha disfrutado jugando con víctimas e investigadores.

Esto se vio por primera vez cuando el actor amenazó comenzó a trollear a los investigadores de seguridad utilizando sus nombres en combinación con comentarios racistas como nombres de archivos de malware y direcciones de correo electrónico.

A principios de esta semana, el actor de amenazas envió cartas de despido de empleados falsas que mostraban un aviso que decía "¡Feliz Navidad, queridos empleados!" Después de infectar su dispositivo.

En una nueva campaña de phishing descubierta por MalwareHunterEquipo Y 604 Kuzushi, este mismo actor de amenazas llevó esto al siguiente nivel al enviar correos electrónicos no deseados con un asunto "Resultado de la prueba COVID-19" que indica que el destinatario estuvo expuesto a un colega que dio positivo en la variante COVID de Omicron.

"Esta carta es para informarle que ha estado expuesto a un colega que dio positivo por la variante OMICRON de COVID-19 entre el 18 y el 20 de diciembre", se lee en el nuevo correo electrónico de phishing que se muestra a continuación.

"Consulte los detalles en el documento adjunto".

Correo electrónico de phishing de Dridex que afirma que ha estado expuesto a la variante COVID-19 de Omicron
Correo electrónico de phishing de Dridex que afirma que ha estado expuesto a la variante COVID-19 de Omicron

El correo electrónico incluye un archivo adjunto de Excel protegido con contraseña y la contraseña necesaria para abrir el documento. Una vez que se ingresa la contraseña, al destinatario se le muestra un documento COVID-19 borroso y se le solicita "Habilitar contenido" para verlo.

El documento borroso atrae a los usuarios a habilitar macros
Fuente: BleepingComputer

Para colmo de males, una vez que se habilitan las macros y el dispositivo está infectado, el autor de la amenaza se burla de sus víctimas mostrando una alerta que contiene el número de teléfono de la "Línea de ayuda de asistencia funeraria Covid-19".

Una broma de mal gusto que muestra el número de la línea de ayuda de asistencia funeraria COVID-19
Una broma de mal gusto que muestra el número de la línea de ayuda de asistencia funeraria COVID-19
Fuente: BleepingComputer

Dado que la variante COVID-19 es altamente contagiosa y se propaga rápidamente por todo el mundo, los correos electrónicos de phishing relacionados con la variante Omicron se están volviendo populares y es probable que sean muy efectivos en la distribución de malware.

Esto es especialmente cierto si la campaña de phishing pretende provenir del departamento de recursos humanos de una empresa y se dirige a empleados de la misma empresa.

Dado que las campañas de phishing de Dridex actualmente utilizan archivos adjuntos protegidos con contraseña, las empresas deben capacitar a sus empleados para detectar y evitar este tipo de ataque.

Como siempre, si recibe correos electrónicos inesperados o correos electrónicos que contienen archivos adjuntos inusuales, siempre comuníquese con su administrador de red u otras personas en el trabajo para determinar si el correo electrónico es legítimo.

Descubre más contenido

Subir Change privacy settings