Lampion kötü amaçlı yazılımı son zamanlarda daha büyük hacimlerde dağıtılıyor ve tehdit aktörleri kimlik avı kampanyalarının bir parçası olarak WeTransfer’ı kötüye kullanıyor.
WeTransfer ücretsiz olarak kullanılabilen yasal bir dosya paylaşım hizmetidir, bu nedenle e-postalarda kullanılan URL’ler hakkında uyarı vermeyebilecek güvenlik yazılımını atlamanın ücretsiz bir yoludur.
E-posta güvenlik şirketi Cofense tarafından gözlemlenen yeni bir kampanyada, Lampion operatörleri, güvenliği ihlal edilmiş şirket hesaplarından, kullanıcıları WeTransfer’dan bir “Ödeme Kanıtı” belgesi indirmeye çağıran kimlik avı e-postaları gönderiyor.
Hedeflerin aldığı dosya, saldırının başlaması için kurbanın başlatması gereken bir VBS (Sanal Temel komut dosyası) dosyasını içeren bir ZIP arşividir.
Çalıştırıldıktan sonra komut dosyası, rastgele adlandırma ile dört VBS dosyası oluşturan bir WScript işlemi başlatır. Birincisi boş, ikincisi minimum işlevselliğe sahip ve üçüncünün tek amacı dördüncü komut dosyasını başlatmak.
Cofense analistleri, bu ekstra adımın belirsiz olduğunu, ancak modüler yürütme yaklaşımlarının, genellikle çok yönlülükleri nedeniyle tercih edildiğini ve kolay dosya takaslarına izin verildiğini söylüyor.
Dördüncü komut dosyası, parola korumalı ZIP’lerin içinde saklanan iki DLL dosyasını almak için iki sabit kodlanmış URL’ye bağlanan yeni bir WScript işlemi başlatır. URL’ler, Amazon AWS örneklerine işaret eder.
ZIP dosyalarının parolası komut dosyasında sabit kodlanmıştır, bu nedenle arşivler, kullanıcı etkileşimi gerektirmeden çıkarılır. İçerilen DLL yükleri belleğe yüklenerek Lampion’un güvenliği ihlal edilmiş sistemlerde gizlice yürütülmesine izin verir.
Oradan, Lampion bilgisayardan veri çalmaya başlar, C2’den enjeksiyonlar getirerek banka hesaplarını hedef alır ve giriş sayfalarına kendi giriş formlarını yerleştirir. Kullanıcılar kimlik bilgilerini girdiğinde, bu sahte giriş formları çalınacak ve saldırgana gönderilecektir.
Lampion canlandı
Lampion truva atı buralardaydı en az 2019’dan beriağırlıklı olarak İspanyolca konuşan hedeflere odaklanıyor ve kötü niyetli ZIP’lerini barındırmak için güvenliği ihlal edilmiş sunucuları kullanıyor.
2021’deLampion’un Google Drive ve pCloud dahil olmak üzere ilk kez kötü amaçlı yazılımı barındırmak için bulut hizmetlerini kötüye kullandığı görüldü.
Daha yakın zamanda, Mart 2022’de, Cyware bildirildi Truva atının dağıtımında, Bazaar ve LockBit işlemlerine bir ana bilgisayar adı bağlantısı belirleyen bir artış.
Cyware ayrıca Lampion’un yazarlarının daha fazla şaşırtma katmanı ve gereksiz kod ekleyerek kötü amaçlı yazılımlarını analiz etmeyi zorlaştırmaya çalıştığını da bildirdi.
Cofense’nin son raporu, Lampion’un aktif ve gizli bir tehdit olduğunu ve kullanıcıların yasal bulut hizmetlerinden bile dosya indirmelerini isteyen istenmeyen e-postalara karşı dikkatli olmaları gerektiğini gösteriyor.