El malware Lampion se está distribuyendo en grandes volúmenes últimamente, con actores de amenazas que abusan de WeTransfer como parte de sus campañas de phishing.
WeTransfer es un servicio legítimo para compartir archivos que se puede usar de forma gratuita, por lo que es una forma gratuita de eludir el software de seguridad que puede no generar alertas sobre las URL utilizadas en los correos electrónicos.
Esta forma de malware es un gran desafío desde el punto de vista del equipo de seguridad bancaria, ya que los accesos se realizan a través del dispositivo de la víctima, un dispositivo de confianza.
¿Como se distribuye el malware Lampion?
Los actores de amenazas utilizaron cuentas comerciales pirateadas para enviar por correo electrónico a los destinatarios enlaces a documentos que querían que descargaran de WeTransfer. Los atacantes presentan estos documentos como Comprobante de Pago para intentar engañar a los usuarios.
Siguiendo el enlace, los usuarios terminan descargando un archivo ZIP falso del cargador VBS y asi abren paso para que el ataque comience.
El script es un descargador de troyanos que obtiene dos archivos de los depósitos de AWS: un archivo ZIP llamado 0.zip y otro archivo identificado como DLL (P-19-2.dll).
El archivo VBS está ofuscado para complicar su análisis y detección por parte de los motores antivirus. Los archivos descargados son la siguiente etapa del malware, donde el archivo .dll es el propio malware (de hecho, está en el archivo PE) y el archivo ZIP, protegido por una contraseña, es una DLL que exporta algunas de las funciones cruciales importadas y ejecutado por el primer archivo (P-19-2.dll).
La contraseña para los archivos ZIP está codificada en el script, por lo que los archivos se extraen sin necesidad de interacción por parte del usuario. Las cargas útiles de DLL contenidas se cargan en la memoria, lo que permite que Lampion se ejecute sigilosamente en sistemas comprometidos.
A partir de ahí, Lampion comienza a robar datos de la computadora, apuntando a las cuentas bancarias obteniendo inyecciones del C2 y superponiendo sus propios formularios de inicio de sesión en las páginas de inicio de sesión. Cuando los usuarios ingresan sus credenciales, estos formularios de inicio de sesión falsos serán robados y enviados al atacante.
El último informe de Cofense indica que Lampion es una amenaza activa y sigilosa, y los usuarios deben tener cuidado con los correos electrónicos no solicitados que les piden que descarguen archivos y esto aplica en cualquier tipo de correo ya que nunca sabes lo que estas descargando.
