Бесплатно Экспресс-аудит сайта:

12.09.2022

Вредонос Lampion вернулся и активно распространяется

В ходе новой фишинговой кампании, обнаруженной специалистами из Cofense, операторы вредоноса Lampion рассылают фишинговые письма со взломанных учетных записей сотрудников различных компаний, заставляя пользователей загрузить фальшивую квитанцию об оплате с файлообменника WeTransfer


Письмо со ссылкой на скачивание вредоносного файла с WeTransfer

Файл представляет собой ZIP-архив, содержащий VBS-вложение, которое жертва должна запустить, чтобы началось заражение.


Содержимое ZIP-архива

После выполнения, VBS-вложение запускает процесс WScript, создающий четыре VBS-файла со случайными именами. Первый из них пустой, второй почти не функционален, а третий предназначен только для запуска четвертого скрипта. Аналитики Cofense отметили, что этот дополнительный шаг непонятен, однако предполагают, что это нужно для того, чтобы легко менять файлы местами.

Четвертый скрипт запускает новый процесс WScript, который подключается к двум URL-адресам и загружает два DLL-файла, скрытых в защищенных паролем ZIP-архивах. URL-адреса указывают на экземпляры Amazon AWS.


URL-адреса, указывающие на экземпляры Amazon AWS

Пароль для ZIP-архивов жестко закодирован в скрипте, поэтому они извлекаются без участия пользователя. Содержащиеся в них DLL загружаются в память, что позволяет немедленно запустить Lampion на взломанной системе. После этого вредонос начинает красть данные с компьютера. Главная цель Lampion – данные банковских счетов, которые собираются с помощью инъекций вредоносного кода и наложения фальшивых форм входа на страницы для авторизации.

Специалисты отметили, что авторы Lampion продолжают активно улучшать свою вредоносную программу, пытаясь усложнить процесс анализа с помощью обфускации.