Lampion Cofense AWS WeTransfer
Чтобы распространять вредоносное ПО, злоумышленники используют платформу WebTransfer.
В ходе новой фишинговой кампании, обнаруженной специалистами из Cofense, операторы вредоноса Lampion рассылают фишинговые письма со взломанных учетных записей сотрудников различных компаний, заставляя пользователей загрузить фальшивую квитанцию об оплате с файлообменника WeTransfer
Письмо со ссылкой на скачивание вредоносного файла с WeTransferФайл представляет собой ZIP-архив, содержащий VBS-вложение, которое жертва должна запустить, чтобы началось заражение.
Содержимое ZIP-архиваПосле выполнения, VBS-вложение запускает процесс WScript, создающий четыре VBS-файла со случайными именами. Первый из них пустой, второй почти не функционален, а третий предназначен только для запуска четвертого скрипта. Аналитики Cofense отметили, что этот дополнительный шаг непонятен, однако предполагают, что это нужно для того, чтобы легко менять файлы местами.
Четвертый скрипт запускает новый процесс WScript, который подключается к двум URL-адресам и загружает два DLL-файла, скрытых в защищенных паролем ZIP-архивах. URL-адреса указывают на экземпляры Amazon AWS.
URL-адреса, указывающие на экземпляры Amazon AWSПароль для ZIP-архивов жестко закодирован в скрипте, поэтому они извлекаются без участия пользователя. Содержащиеся в них DLL загружаются в память, что позволяет немедленно запустить Lampion на взломанной системе. После этого вредонос начинает красть данные с компьютера. Главная цель Lampion – данные банковских счетов, которые собираются с помощью инъекций вредоносного кода и наложения фальшивых форм входа на страницы для авторизации.
Специалисты отметили, что авторы Lampion продолжают активно улучшать свою вредоносную программу, пытаясь усложнить процесс анализа с помощью обфускации.
SECURITYLAB.RU