Если вы получили электронное письмо от неизвестного человека с документом «Подтверждение оплаты» от WeTransfer, будьте осторожны, так как это, скорее всего, вредоносное ПО.
Исследователи кибербезопасности из Cofense обнаружили, что злоумышленники теперь распространяют вредоносное ПО Lampion таким образом в большем объеме.
Lampion — известный троян, способный красть конфиденциальные данные, такие как банковская информация, пароли и тому подобное. Он делает это, накладывая известные формы входа на свои собственные, а затем отправляя представленные данные на свои серверы управления и контроля.
Распространение Лампион
Что делает эту кампанию более опасной, чем другие подобные кампании, так это использование WeTransfer. Это законная служба передачи файлов, поэтому системам безопасности электронной почты крайне сложно пометить ее как вредоносную. Более того, это не единственный законный сервис, которым злоупотребляют мошенники — они также используют Amazon Web Services (AWS), и вот как.
Когда жертва получает электронное письмо и загружает файл, она получает ZIP-архив с виртуальным базовым скриптом (VBS) внутри. Сценарий, если он запущен, подключается к экземпляру AWS и получает два файла DLL, также в защищенных ZIP-архивах. Эти библиотеки DLL при активации (что делается автоматически и без участия пользователя) загружаются в память и позволяют работать с Lampion.
Lampion — известный троян, который используется с 2019 года. Начав с вредоносного ПО, нацеленного сначала на испаноязычное сообщество, с тех пор он стал международным. В этом году исследователи заявили, что его распространение ускорилось, и некоторые определили связь имени хоста с Bazaar и LockBit.
Электронная почта по-прежнему остается одним из лучших способов распространения вирусов, вредоносных программ или программ-вымогателей, несмотря на то, что инструменты защиты электронной почты с годами стали лучше. Сегодня злоумышленники могут использовать ряд бесплатных облачных инструментов, таких как хостинг-провайдеры, органайзеры календарей и т. д., для обхода мер безопасности и распространения вредоносного кода на конечные точки. (откроется в новой вкладке) во всем мире.
С помощью: BleepingКомпьютер (откроется в новой вкладке)
