Lampion kötü amaçlı yazılım, son zamanlarda daha büyük ciltlerde dağıtılıyor ve tehdit aktörleri kimlik avı kampanyalarının bir parçası olarak Wetransfer'ı kötüye kullanıyor.
Wetransfer, ücretsiz olarak kullanılabilen meşru bir dosya paylaşım hizmetidir, bu nedenle e-postalarda kullanılan URL'ler hakkında uyarıları yükseltmeyebilecek güvenlik yazılımını atlamanın maliyeti olmayan bir yoludur.
E -posta güvenlik firması COFENSE tarafından gözlemlenen yeni bir kampanyada, Lampion operatörleri, kullanıcıları Wetransfer'den "ödeme kanıtı" belgesi indirmeye çağıran tehlikeye atılan şirket hesaplarından kimlik avı e -postaları gönderiyor.
Hedeflerin aldığı dosya, kurbanın saldırının başlaması için başlatılması gereken bir VBS (Sanal Temel Script) dosyası içeren bir zip arşividir.
Yürütme üzerine komut dosyası, rastgele adlandırma ile dört VB dosyası oluşturan bir WScript işlemi başlatır. Birincisi boş, ikincisi minimum işlevselliğe sahiptir ve üçüncüsü tek amacı dördüncü komut dosyasını başlatmaktır.
CoFense analistleri, bu ekstra adımın belirsiz olduğunu, ancak modüler yürütme yaklaşımlarının tipik olarak çok yönlülükleri için tercih edildiğini ve kolay dosya takaslarına izin verdiğini söylüyor.
Dördüncü komut dosyası, şifre korumalı fermuarların içine saklanan iki DLL dosyası almak için iki sert kodlanmış URL'ye bağlanan yeni bir WScript işlemi başlatır. URL'ler Amazon AWS örneklerine işaret ediyor.
ZIP dosyalarının şifresi komut dosyasında sabit kodlanmıştır, böylece arşivler kullanıcı etkileşimi gerektirmeden çıkarılır. İçerilen DLL yükleri belleğe yüklenir ve Lampion'un tehlikeye atılan sistemlerde gizli bir şekilde yürütülmesine izin verir.
Oradan Lampion, C2'den enjeksiyonlar getirerek ve oturum açma sayfalarında kendi giriş formlarını kaplayarak banka hesaplarını hedefleyerek bilgisayardan veri çalmaya başlar. Kullanıcılar kimlik bilgilerini girdiğinde, bu sahte giriş formları çalınır ve saldırgana gönderilir.
Lampion Trojan, en az 2019'dan beri, esas olarak İspanyolca konuşan hedeflere odaklanıyor ve kötü niyetli fermuarlarını barındırmak için tehlikeye atılmış sunucular kullanıyor.
2021'de Lampion, Google Drive ve Pcloud da dahil olmak üzere kötü amaçlı yazılımları ilk kez barındırdığı için bulut hizmetlerini kötüye kullandı.
Daha yakın zamanlarda, Mart 2022'de Cyware, Truva atı dağıtımında bir artış bildirdi ve çarşı ve lockbit operasyonlarına bir ana bilgisayar adı belirledi.
Cyware ayrıca Lampion yazarlarının aktif olarak kötü amaçlı yazılımlarını daha fazla gizleme katmanı ve önemsiz kod ekleyerek analiz etmeyi zorlaştırmaya çalıştıklarını bildirdi.
Cofense'nin son raporu, Lampion'un aktif ve gizli bir tehdit olduğunu ve kullanıcıların meşru bulut hizmetlerinden bile dosya indirmelerini isteyen istenmeyen e -postalar konusunda dikkatli olması gerektiğini gösteriyor.
Grandoreiro Bankacılık Kötü Yazılım Hedefleri İspanya, Meksika'daki Üreticileri Hedefliyor
Malware Devs zaten Android 13'ün yeni güvenlik özelliğini atladı
Sova Malware, Android cihazlarını şifrelemek için fidye yazılımı özelliği ekler
Kuzey Koreli Lazarus Hacker'ları ABD Enerji Sağlayıcılarını hedef alıyor
Bumblebee kötü amaçlı yazılım, gizli enfeksiyonlar için sömürü sonrası aracı ekler
Kaynak: Bleeping Computer