Criminelen versturen op dit moment e-mails waarin wordt gesteld dat de ontvanger is ontslagen of in contact is geweest met een collega die positief op de omicron-variant van het coronavirus is getest. De meegestuurde bijlage, waarin meer details zouden staan, probeert het systeem met malware te infecteren, zo waarschuwen beveiligingsonderzoekers op Twitter.

De e-mail over het zogenaamde ontslag heeft als onderwerp "Employee Termination" en stelt dat de arbeidsrelatie met de ontvanger op 24 december wordt beëindigd en deze beslissing onomkeerbaar is. Het bericht over de zogenaamd besmette collega heeft als onderwerp "Positive Omicron results" en laat weten dat de ontvanger in contact met een collega is gekomen die positief op de omicron-variant is getest. Meer informatie zou in het meegestuurde, beveiligde document zijn te vinden. De meegestuurde bijlage is een met wachtwoord beveiligd Excel-document. Het vereiste wachtwoord staat in de e-mail.

Wanneer de ontvanger het wachtwoord invoert verschijnt er een onleesbaar Excel-document met instructies om macro's in te schakelen. Doet de gebruiker dit, dan verschijnt erbij de ontslagbijlage een pop-up met de tekst "Merry X-Mas Dear Employees!". De coronamelding toont een pop-up met de boodschap "Covid-19 Funeral Assistance Helpline". Door het inschakelen van de macro's wordt de Dridex-malware op het systeem gedownload. Eenmaal actief op een systeem verzamelt Dridex allerlei wachtwoorden en andere gegevens waarmee er toegang tot bankrekeningen kan worden verkregen. Criminelen gebruiken Dridex ook voor het installeren van ransomware op systemen.