13/09/22
В ходе новой фишинговой кампании, обнаруженной специалистами из Cofense, операторы вредоноса Lampion рассылают фишинговые письма со взломанных учетных записей сотрудников различных компаний, заставляя пользователей загрузить фальшивую квитанцию об оплате с файлообменника WeTransfer. Об этом сообщает Securitylab.
.png?width=501&name=content-img(435).png)
Файл представляет собой ZIP-архив, содержащий VBS-вложение, которое жертва должна запустить, чтобы началось заражение.
После выполнения, VBS-вложение запускает процесс WScript, создающий четыре VBS-файла со случайными именами. Первый из них пустой, второй почти не функционален, а третий предназначен только для запуска четвертого скрипта. Аналитики Cofense отметили, что этот дополнительный шаг непонятен, однако предполагают, что это нужно для того, чтобы легко менять файлы местами.
Четвертый скрипт запускает новый процесс WScript, который подключается к двум URL-адресам и загружает два DLL-файла, скрытых в защищенных паролем ZIP-архивах. URL-адреса указывают на экземпляры Amazon AWS.
Пароль для ZIP-архивов жестко закодирован в скрипте, поэтому они извлекаются без участия пользователя. Содержащиеся в них DLL загружаются в память, что позволяет немедленно запустить Lampion на взломанной системе. После этого вредонос начинает красть данные с компьютера. Главная цель Lampion – данные банковских счетов, которые собираются с помощью инъекций вредоносного кода и наложения фальшивых форм входа на страницы для авторизации.
Специалисты отметили, что авторы Lampion продолжают активно улучшать свою вредоносную программу, пытаясь усложнить процесс анализа с помощью обфускации.
