In una nuova campagna rilevata dalla società di sicurezza Cofense, gli operatori Lampion stanno inviando e-mail di phishing da account aziendali compromessi esortando gli utenti a scaricare una ricevuta di pagamento condivisa tramite WeTransfer.
Lampion
Lampion è un trojan bancario già noto e in circolazione dal 2019 che prende di mira utenti in lingua portoghese. In questa nuova campagna, gli attori delle minacce distribuirebbero un loader VBS (Virtual Basic script) sfruttando il servizio fornito dalla piattaforma WeTransfer. Il popolare servizio di condivisione file legittimo può essere infatti un modo gratuito per aggirare software di protezione e non generare avvisi di sicurezza.
Le fasi d’attacco
L’attore della minaccia utilizzerebbe un messaggio di posta elettronica molto semplice. Ecco la traduzione dal portoghese:
“Buon pomeriggio, invio la ricevuta del pagamento e i documenti al link: hXXps://we[.]tl/t-pNvQIG8UJS. Sottoscrivo con grande stima e distinti saluti”
Una presunta ricevuta di pagamento e altri documenti sarebbero reperibili da una URL genarata via WeTransfer.
Il file che si scaricherà, in realtà, è un archivio ZIP contenente un file VBS che la vittima deve lanciare affinché l’attacco abbia inizio.
Tale script, secondo l’analisi, avvia un processo WScript che crea quattro file VBS con denominazione casuale di cui:
- Il primo è vuoto;
- il secondo ha funzionalità minime;
- il terzo ha il solo scopo di lanciare il quarto script;
- Il quarto avvia un nuovo processo WScript che si collega a due URL hardcoded per recuperare due file DLL nascosti all’interno di ZIP protetti da password (codificata nello stesso script).
I payload DLL contenuti vengono così caricati in memoria, consentendo a Lampion di essere eseguito di nascosto sui sistemi compromessi per rubare dati dal computer e conti bancari con tecniche overlay.
Quali riflessioni
“Mentre la sicurezza della posta elettronica continua a evolversi per proteggere l’organizzazione, gli attori delle minacce sono costantemente alla ricerca di opportunità per arrivare nella posta in arrivo. Questo è il motivo per cui è fondamentale fornire ai tuoi utenti simulazioni in linea con le minacce più recenti“, concludono gli esperti di Cofense Phishing Defense Center.
Lo studio dimostra pertanto come Lampion rappresenti una minaccia concreta e come gli utenti dovrebbero prestare attenzione alle e-mail che chiedono loro di scaricare file, anche se da servizi legittimi.
