È stata identificata una nuova campagna malspam che, a partire dallo scorso 27 ottobre 2021, sta distribuendo il malware Dridex utilizzando come esca la nuova stagione della nota serie televisiva Squid Game.
I criminali informatici, fingendosi figure associate a questa serie di Netflix grazie all’utilizzo di e-mail appositamente allestite, propongono ai destinatari di ottenere un voucher per l’accesso anticipato alla nuova stagione di Squid Game o addirittura di diventare parte del cast dello show televisivo o partecipare a degli spot pubblicitari collegati.
Indice degli argomenti
Dridex: i messaggi di posta elettronica ingannevoli
Nella fattispecie, i ricercatori Proofpoint avrebbero osservato, durante la loro analisi, migliaia di messaggi di posta elettronica indirizzati principalmente a diversi settori negli Stati Uniti, con oggetti del tipo seguente:
- Squid Game is back, watch new season before anyone else
- Invite for Customer to access the new sesason. [sic]
- Squid game new season commercials casting preview
- Squid game scheduled season commercials talent cast schedule
Tutti i messaggi e-mail chiedono alla potenziale vittima, per ottenere un accesso anticipato o per proporsi come comparsa, di compilare un modulo allegato.
In realtà, tali documenti non sono altro che file Excel con macro che, se abilitate, scaricheranno da determinate URL (hxxps[:]//cdn[.]discordapp[.]com/attachments/…) il payload .dll afferente al trojan bancario Dridex che può portare non solo al furto di dati ma anche all’installazione di malware di secondo livello come i temutissimi ransomware.
Il gruppo criminale responsabile della campagna in atto
Secondo Proofpoint sarebbe TA575 (con identificativo di affiliazione “22203”) il gruppo criminale responsabile di questa campagna Dridex a tema Squid Game.
Tale gruppo specializzatosi nella distribuisce massiva di malspam, propinando a vario titolo link e documenti Microsoft Office artefatti, è sempre riuscito con la propria strategia ad avere un impatto considerevole riuscendo a colpire centinaia di organizzazioni generalmente con tematiche relative a fatturazione, pagamenti ma anche eventi e riferimenti contemporanei.
Un’altra caratteristica tipica del gruppo, come per questa campagna, è quella di impiegare come piattaforma di comunicazione e distribuzione di Dridex il servizio di hosting legittimo Discord.
Come proteggersi da Dridex
In questo caso in esame, poiché l’invito a far parte della prossima stagione della serie di Netflix potrebbe invogliare molti utenti a interagire con il file Microsoft Excel malevolo, il bacino di potenziali vittime risulta molto ampio.
Non a caso, la sfida più grande nella prevenzione delle infezioni da macro malware consiste proprio nell’identificare in modo corretto i vettori di propagazione principali ovvero le e-mail di phishing e di malspam anche dal punto di vista del fattore umano.
Risultano pertanto utili allo scopo una serie di accorgimenti pratici, da combinare con gli strumenti antispam e antivirus consigliati come misure di difesa convenzionali.
Per minimizzare ulteriormente tali e potenziali minacce risulta molto utile anche e soprattutto il buon senso:
- diffidare di e-mail da mittenti anche noti, contenenti fatture o richieste di informazioni riservate;
- prestare attenzione ai documenti allegati che offrono anteprime con testi e immagini che accrescono la curiosità nel voler conoscere il contenuto del documento stesso;
- controllare in generale che per impostazione predefinita sia disabilitata l’esecuzione delle macro e non confermare mai le richieste di disattivazione delle protezioni, indipendentemente dal fatto che si conosca o meno la fonte.
