Το Lampion malware τον τελευταίο καιρό διανέμεται σε μεγαλύτερους όγκους, με τους απειλητικούς φορείς να κάνουν κατάχρηση του WeTransfer ως μέρος των phishing καμπανιών τους.

Το WeTransfer είναι μια νόμιμη υπηρεσία κοινής χρήσης αρχείων που μπορεί να χρησιμοποιηθεί δωρεάν, επομένως είναι ένας τρόπος χωρίς κόστος να παρακάμψετε το λογισμικό ασφαλείας που ενδέχεται να μην προειδοποιεί σχετικά με τις διευθύνσεις URL που χρησιμοποιούνται στα emails.

Δείτε επίσης: HP: Firmware bugs δεν έχουν διορθωθεί εδώ και ένα χρόνο

Σε μια νέα καμπάνια που παρατηρήθηκε από την εταιρεία ασφάλειας email Cofense, οι χειριστές του Lampion στέλνουν μηνύματα phishing από λογαριασμούς εταιρειών που έχουν παραβιαστεί, προτρέποντας τους χρήστες να κατεβάσουν ένα έγγραφο “Proof of Payment” από το WeTransfer.

Το αρχείο που λαμβάνουν οι στόχοι είναι ένα αρχείο ZIP που περιέχει ένα αρχείο VBS (Virtual Basic script) που πρέπει να εκκινήσει το θύμα για να ξεκινήσει η επίθεση.

Κατά την εκτέλεση, το script ξεκινά μια διαδικασία WScript που δημιουργεί τέσσερα αρχεία VBS με τυχαία ονομασία. Το πρώτο είναι κενό, το δεύτερο έχει ελάχιστη λειτουργικότητα και ο μόνος σκοπός του τρίτου είναι να ξεκινήσει το τέταρτο script.

Δείτε επίσης: Mobile malware: Όσα πρέπει να ξέρεις για το κακόβουλο λογισμικό

Οι αναλυτές της Cofense σχολιάζουν ότι αυτό το επιπλέον βήμα είναι ασαφές, αλλά συνήθως προτιμώνται οι προσεγγίσεις modular execution λόγω της ευελιξίας τους, επιτρέποντας εύκολες εναλλαγές αρχείων.

Το τέταρτο script εκκινεί μια νέα διαδικασία WScript που συνδέεται με δύο διευθύνσεις hardcoded URLs για να ανακτήσει δύο αρχεία DLL που κρύβονται μέσα σε ZIPs που προστατεύονται με κωδικό πρόσβασης. Οι διευθύνσεις URL παραπέμπουν σε instances Amazon AWS.

Ο κωδικός πρόσβασης για τα αρχεία ZIP είναι hardcoded στο script, επομένως τα αρχεία εξάγονται χωρίς να απαιτείται αλληλεπίδραση με τον χρήστη. Τα περιεχόμενα DLL payloads φορτώνονται στη μνήμη, επιτρέποντας στο Lampion να εκτελείται κρυφά σε παραβιασμένα συστήματα

.

Από εκεί, το Lampion αρχίζει να κλέβει δεδομένα από τον υπολογιστή, στοχεύοντας τραπεζικούς λογαριασμούς λαμβάνοντας injections από το C2 και επικαλύπτοντας τις δικές του φόρμες σύνδεσης σε σελίδες σύνδεσης. Όταν οι χρήστες εισάγουν τα credentials τους, αυτές οι ψεύτικες φόρμες σύνδεσης κλέβονται και στέλνονται στον εισβολέα.

Το Lampion ανανεώθηκε

Το Lampion trojan κυκλοφορεί τουλάχιστον από το 2019, εστιάζοντας κυρίως σε ισπανόφωνους στόχους και χρησιμοποιώντας παραβιασμένους servers για να φιλοξενήσει τα κακόβουλα ZIP του.

Το 2021, το Lampion εθεάθη να κάνει κατάχρηση υπηρεσιών cloud για τη φιλοξενία του κακόβουλου λογισμικού για πρώτη φορά, συμπεριλαμβανομένων των Google Drive και pCloud.

Πιο πρόσφατα, τον Μάρτιο του 2022, η Cyware ανέφερε μια αύξηση στη διανομή του trojan, εντοπίζοντας ένα hostname link στις λειτουργίες Bazaar και LockBit.

Δείτε επίσης: Επίθεση GIFShell μολύνει το Microsoft Teams με χρήση GIFs

Η Cyware ανέφερε επίσης ότι οι συντάκτες του Lampion προσπαθούσαν ενεργά να κάνουν το malware τους πιο δύσκολο στην ανάλυση προσθέτοντας περισσότερα επίπεδα obfuscation και junk code.

Η τελευταία αναφορά της Cofense δείχνει ότι το Lampion είναι μια ενεργή και κρυφή απειλή και οι χρήστες θα πρέπει να είναι προσεκτικοί με emails που τους ζητούν να κάνουν λήψη αρχείων, ακόμη και από νόμιμες υπηρεσίες cloud.

Πηγή πληροφοριών: bleepingcomputer.com