圣誕節(jié)前收到解雇郵件？新型 Dridex 網(wǎng)絡(luò)釣魚攻擊曝光，看到勿點

IT之家 12 月 23 日消息，據(jù) NeoWin 報道，如果你在圣誕節(jié)前收到解雇的電子郵件，應(yīng)格外小心。目前網(wǎng)絡(luò)上發(fā)現(xiàn)了一種新的 Dridex 網(wǎng)絡(luò)釣魚方法，向潛在受害者發(fā)送虛假的解雇電子郵件。

這種網(wǎng)絡(luò)釣魚攻擊是由安全研究員和 Twitter 用戶 @ffforward 發(fā)現(xiàn)的，如下圖所示，郵件中包含一個名為“TermLetter”的附加 Excel 文件，可能是 Termination Letter 的縮寫。

這封電子郵件稱，有關(guān)人員的工作將于圣誕節(jié)前一天的 12 月 24 日結(jié)束，目的是讓讀者感到迷惑不解，從而使用提供的密碼下載并打開 Excel 文件。

Excel 會要求受害者啟用內(nèi)容，并彈出“圣誕快樂”的消息。當(dāng)然，這只是危險的第一步。

IT之家了解到，當(dāng)受害者啟用內(nèi)容時，攻擊腳本會在 C:\ProgramData 文件夾中創(chuàng)建并啟動一個帶有偽裝成 RTF 文件的 VBScript 的惡意 HTA 文件。這個文件夾一般是隱藏的，需要取消隱藏才能看到里面的內(nèi)容。

此 HTA 惡意軟件文件繼續(xù)從 Dridex Discord 服務(wù)器下載 Dridex 銀行木馬。惡意文件已被黑客命名為“jesusismyfriend.bin”。安裝后，Dridex 將竊取憑據(jù)并在受感染設(shè)備上下載其他惡意軟件。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。