CSIRT.CZ obdržel z několika zdrojů hlášení o obdržení podvodného mailu odeslaného údajně Krajským Úřadem Jihomoravského kraje obsahující oznámení o plánovaném vydání přiručky prvni pomoci se žádostí o finanční podporu. V příloze je infikovaný soubor s různícími se jmény, a příponou .doc. CSIRT.CZ již požádal o zablokování zdroje těchto zpráv. Doporučujeme v žádném případě neotvírat přílohu těchto zpráv.
Text e-mailu je různorodý (další varianty jsou faktura za technickou pomoc nebo zadávací dokumentace), ale na rozdíl od řady dalších útoků bez chyb a občas i věrohodný. No a pokud vás ještě někdo osloví "starosto", no kdo by příloze odolal...
Pouze otevření toho dokumentu v Microsoft Word ještě neznamená problém. Horší to je, pokud uživatel postupně odsouhlasí všechna varování Wordu (že dokument nemusí být bezpečný, obsahuje přílohu, …). Potom se dostanou ke slovu makra, která se sestaví z přílohy (base64 encoded – mso soubor), kterou si dokument uvnitř sebe nese. Pak následuje stažení další havěti do PC. Tento problémový dokument tak plní roli downloaderu.
Havěť zneužívá služby pastebin.com, kde je umístěna část Visual Basic skriptu s dalšími instrukcemi (obsah je lehce zakryptován). Díky nim je i následně stažena havěť Win32/Dridex, což je klasický bankovní trojan, snažící se tunelovat bankovní účty obětí...