Jeśli otrzymujesz e-mail od nieznanej osoby, udostępniający dokument “Proof of Payment” od WeTransfer, zachowaj ostrożność, ponieważ najprawdopodobniej jest to złośliwe oprogramowanie.
Specjaliści od cyberbezpieczeństwa z firmy Cofense odkryli, że twórcy zagrożeń dystrybuują w ten sposób malware Lampion. Lampion to znany trojan, zdolny do kradzieży wrażliwych danych, takich jak informacje bankowe, hasła i podobne. Robi to poprzez nakładanie znanych formularzy logowania na swoje własne, a następnie wysyłanie przesłanych danych do swoich serwerów command & control.
Tym, co czyni tę kampanię bardziej niebezpieczną od innych, podobnych kampanii, jest wykorzystanie WeTransfer. Jest to legalna usługa transferu plików, co sprawia, że systemy bezpieczeństwa poczty elektronicznej mają ogromne trudności z oznaczeniem jej jako złośliwej. Co więcej, nie jest to jedyna legalna usługa, której nadużywają oszuści — wykorzystują one również Amazon Web Services (AWS), a oto jak.
Gdy ofiara otrzyma e-mail i pobierze plik, otrzyma archiwum ZIP z wirtualnym skryptem podstawowym (VBS) w środku. Skrypt ten, po uruchomieniu, łączy się z instancją AWS i pobiera dwa pliki DLL, również znajdujące się w chronionych archiwach ZIP. Te DLL, po aktywacji (która odbywa się automatycznie i bez jakiejkolwiek interakcji ze strony użytkownika), są ładowane do pamięci i umożliwiają działanie Lampiona.
Lampion jest znanym trojanem, który był używany od 2019 roku. Rozpoczynając jako złośliwe oprogramowanie skierowane najpierw na społeczność hiszpańskojęzyczną, od tego czasu stał się międzynarodowy. W tym roku badacze stwierdzili, że jego dystrybucja nabrała tempa, przy czym niektórzy zidentyfikowali powiązanie nazwy hosta z Bazaar i LockBit.
E-mail jest nadal jednym z najlepszych sposobów dystrybucji wirusów, złośliwego oprogramowania lub ransomware, mimo że narzędzia do ochrony poczty elektronicznej stały się lepsze na przestrzeni lat. Obecnie, aktorzy zagrożeń mogą wykorzystać szereg darmowych narzędzi chmurowych, takich jak dostawcy usług hostingowych, organizatorzy kalendarzy itp. w celu obejścia środków bezpieczeństwa i dystrybucji szkodliwego kodu do punktów końcowych na całym świecie.
