Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Lampion kötü amaçlı yazılımı, WeTransfer’i kötüye kullanan kimlik avı saldırılarında geri dönüyor


e-posta-kötü amaçlı yazılım

Lampion kötü amaçlı yazılımı son zamanlarda daha büyük hacimlerde dağıtılıyor ve tehdit aktörleri kimlik avı kampanyalarının bir parçası olarak WeTransfer’ı kötüye kullanıyor.

WeTransfer ücretsiz olarak kullanılabilen yasal bir dosya paylaşım hizmetidir, bu nedenle e-postalarda kullanılan URL’ler hakkında uyarı vermeyebilecek güvenlik yazılımını atlamanın ücretsiz bir yoludur.

E-posta güvenlik şirketi Cofense tarafından gözlemlenen yeni bir kampanyada, Lampion operatörleri, güvenliği ihlal edilmiş şirket hesaplarından, kullanıcıları WeTransfer’dan bir “Ödeme Kanıtı” belgesi indirmeye çağıran kimlik avı e-postaları gönderiyor.

WeTransfer indirme bağlantısı içeren spam posta
WeTransfer indirme bağlantısı içeren spam posta (Kofense)

Hedeflerin aldığı dosya, saldırının başlaması için kurbanın başlatması gereken bir VBS (Sanal Temel komut dosyası) dosyasını içeren bir ZIP arşividir.

Kötü amaçlı ZIP dosyasının içeriği
Kötü amaçlı ZIP dosyasının içeriği (Kofense)

Çalıştırıldıktan sonra komut dosyası, rastgele adlandırma ile dört VBS dosyası oluşturan bir WScript işlemi başlatır. Birincisi boş, ikincisi minimum işlevselliğe sahip ve üçüncünün tek amacı dördüncü komut dosyasını başlatmak.

Cofense analistleri, bu ekstra adımın belirsiz olduğunu, ancak modüler yürütme yaklaşımlarının, genellikle çok yönlülükleri nedeniyle tercih edildiğini ve kolay dosya takaslarına izin verildiğini söylüyor.

Dördüncü komut dosyası, parola korumalı ZIP’lerin içinde saklanan iki DLL dosyasını almak için iki sabit kodlanmış URL’ye bağlanan yeni bir WScript işlemi başlatır. URL’ler, Amazon AWS örneklerine işaret eder.

DLL yüklerini barındıran URL'ler
DLL yüklerini barındıran URL’ler (Kofense)

ZIP dosyalarının parolası komut dosyasında sabit kodlanmıştır, bu nedenle arşivler, kullanıcı etkileşimi gerektirmeden çıkarılır. İçerilen DLL yükleri belleğe yüklenerek Lampion’un güvenliği ihlal edilmiş sistemlerde gizlice yürütülmesine izin verir.

Oradan, Lampion bilgisayardan veri çalmaya başlar, C2’den enjeksiyonlar getirerek banka hesaplarını hedef alır ve giriş sayfalarına kendi giriş formlarını yerleştirir. Kullanıcılar kimlik bilgilerini girdiğinde, bu sahte giriş formları çalınacak ve saldırgana gönderilecektir.

Lampion canlandı

Lampion truva atı buralardaydı en az 2019’dan beriağırlıklı olarak İspanyolca konuşan hedeflere odaklanıyor ve kötü niyetli ZIP’lerini barındırmak için güvenliği ihlal edilmiş sunucuları kullanıyor.

2021’deLampion’un Google Drive ve pCloud dahil olmak üzere ilk kez kötü amaçlı yazılımı barındırmak için bulut hizmetlerini kötüye kullandığı görüldü.

Daha yakın zamanda, Mart 2022’de, Cyware bildirildi Truva atının dağıtımında, Bazaar ve LockBit işlemlerine bir ana bilgisayar adı bağlantısı belirleyen bir artış.

Cyware ayrıca Lampion’un yazarlarının daha fazla şaşırtma katmanı ve gereksiz kod ekleyerek kötü amaçlı yazılımlarını analiz etmeyi zorlaştırmaya çalıştığını da bildirdi.

Cofense’nin son raporu, Lampion’un aktif ve gizli bir tehdit olduğunu ve kullanıcıların yasal bulut hizmetlerinden bile dosya indirmelerini isteyen istenmeyen e-postalara karşı dikkatli olmaları gerektiğini gösteriyor.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.