うまくクリックさせるDridex

Dridexはマルウェアの名前です。
いろいろな機能を持つもので、例えば2021年の1月にも大規模な活動が観測されていました。
こんな機能があります。

• 悪意のある電子メールを介して拡散するバンキングマルウェアである
• オンラインバンキングの資格情報を盗む
• 各種マルウェアペイロードをインストールする
  このDridexはEvilCorpによるものです。
  Dridexは、BitPaymer、DoppelPaymer、WastedLockerの各種亜種、Griefなどのランサムウエア攻撃のためのペイロードを設置します。
• 脅威アクターにリモートアクセスを提供する
• ネットワーク上の他のデバイスに横展開する

このような高機能なマルウェアなのですが、いくら高機能でも、それを実行させることができなければ、攻撃は作用し始めません。
今回確認されているキャンペーンでは、この実行させる部分が巧妙化しています。
次のようなことになります。

• メールが届く
• メールの題名は、「Employee Termination」となっている
  従業員の退職、です。いやでも目に入ってくる題名です。
• メールにはファイルが添付されている
  添付されているのは「TermLetter.xls」という名前のExcelパスワードで保護されたスプレッドシートです。
  本文には、その添付ファイルには全部が書かれていると示されています。
  全部、ということなので、解雇された理由も書かれているのではないかと、受け取った人は思うことでしょう。
  ドキュメントを開くために必要なパスワードも記載されています。
  まず、これにより、添付ファイルがアンチウイルスの仕組みで調査されることを防げます。
  また、添付ファイルを受信者が開く可能性を高めています。
• 添付ファイルを開いても中身がぼやけていて、そのままでは読めない
  文書を開くと中には何か記載されているのですが、文字は読めません。
  内容が読みたいから文書を開いたのに、文字は読めません。
  内容を読むには、「Enable Content」（コンテンツの有効化、でしょうか）ボタンをクリックせよ、と記載されています。
  文書を開いた人なら、このボタンを押す可能性は高いかもしれません。
• ボタンを押すと、「Merry X-Mas Dear Employees！」と表示される
  この厳しい内容の書かれていることが予想される文書を開いて、厳しいと思われる内容を読もうとしたとき、この文面が表示されます。
  受信者はそれどころではありません。
  しかし、実際には、このメッセージの表示の裏側で、攻撃行為が展開されます。
  C:\ProgramDataにはHTAファイルが作成されて実行されます。
  HTAはHtmlApplicationです。
  このHTAには画面にメッセージを出す機能だけでなく、DiscordからDridexをダウンロードしてデバイスに感染させる悪意のあるVBScriptが含まれています。

実に嫌な作戦です。
攻撃メールに注目させることができます。
メールの添付ファイルを開かせることができます。
添付ファイルの中のボタンを押させることができます。
そしてこの嫌なメールを読んだ後に待っているのは、ランサムウエア攻撃です。

観測されているこのキャンペーンで使用されている言語は英語です。
もしこの内容が日本向けにローカライズされていた時、みなさんは自分は開かないと断言できますか？

どんな内容であっても、添付ファイルの取り扱いは慎重に実施し、必要に応じて関連部署に連絡を取ることも必要ということでしょうか。

参考記事（外部リンク）：Dridex malware trolls employees with fake job termination
emails
www.bleepingcomputer.com/news/security/dridex-malware-trolls-employees-with-fake-job-termination-emails/