El malware Lampion regresa en ataques de phishing que abusan de WeTransfer

El malware Lampion se está distribuyendo en grandes volúmenes últimamente, con actores de amenazas que abusan de WeTransfer como parte de sus campañas de phishing.

WeTransfer es un servicio legítimo para compartir archivos que se puede usar de forma gratuita, por lo que es una forma gratuita de eludir el software de seguridad que puede no generar alertas sobre las URL utilizadas en los correos electrónicos.

En una nueva campaña observada por la empresa de seguridad de correo electrónico Cofense, los operadores de Lampion están enviando correos electrónicos de phishing desde cuentas de empresas comprometidas instando a los usuarios a descargar un documento de "Prueba de pago" de WeTransfer.

spam-mail(1)

El archivo que reciben los objetivos es un archivo ZIP que contiene un archivo VBS (Virtual Basic script) que la víctima debe ejecutar para que comience el ataque.

Malware_Phishing_emails

Tras la ejecución, el script inicia un proceso de WScript que crea cuatro archivos VBS con nombres aleatorios. El primero está vacío, el segundo tiene una funcionalidad mínima y el único propósito del tercero es iniciar el cuarto script.

Los analistas de Cofense comentan que este paso adicional no está claro, pero los enfoques de ejecución modular generalmente se prefieren por su versatilidad, lo que permite intercambiar archivos fácilmente.

El cuarto script inicia un nuevo proceso de WScript que se conecta a dos URL codificadas para obtener dos archivos DLL escondidos dentro de ZIP protegidos con contraseña. Las URL apuntan a instancias de Amazon AWS.

hardcoded-urls

La contraseña para los archivos ZIP está codificada en el script, por lo que los archivos se extraen sin necesidad de interacción por parte del usuario. Las cargas útiles de DLL contenidas se cargan en la memoria, lo que permite que Lampion se ejecute sigilosamente en sistemas comprometidos.

A partir de ahí, Lampion comienza a robar datos de la computadora, apuntando a las cuentas bancarias obteniendo inyecciones del C2 y superponiendo sus propios formularios de inicio de sesión en las páginas de inicio de sesión. Cuando los usuarios ingresan sus credenciales, estos formularios de inicio de sesión falsos serán robados y enviados al atacante.

 

Lampión revitalizado

El troyano Lampion existe desde al menos 2019 , centrándose principalmente en objetivos de habla hispana y utilizando servidores comprometidos para alojar sus ZIP maliciosos.

En 2021 , se vio a Lampion abusando de los servicios en la nube para alojar el malware por primera vez, incluidos Google Drive y pCloud.

Más recientemente, en marzo de 2022, Cyware informó un aumento en la distribución del troyano, identificando un enlace de nombre de host a las operaciones de Bazaar y LockBit.

Cyware también informó que los autores de Lampion estaban tratando activamente de hacer que su malware fuera más difícil de analizar agregando más capas de ofuscación y código basura.

El último informe de Cofense indica que Lampion es una amenaza activa y sigilosa, y los usuarios deben tener cuidado con los correos electrónicos no solicitados que les piden que descarguen archivos, incluso desde servicios en la nube legítimos.

 

Fuente: Bleepingcomputer.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies