Introducción
El malware Lampion se propaga a través de correos electrónicos que contienen un enlace que descarga un archivo .zip que contiene archivos maliciosos. Es un troyano bancario: los delincuentes lo desarrollaron para robar información relacionada con los portales bancarios de los dispositivos de la víctima o realizar transacciones fraudulentas.
Esta forma de malware es un gran desafío desde el punto de vista del equipo de seguridad bancaria, ya que los accesos se realizan a través del dispositivo de la víctima, un dispositivo confiable.
Cómo se propaga Lampion
Lampion fue identificado por Segurança-Informática (SI) LAB en diciembre de. Este malware se ha propagado a través de campañas de phishing utilizando las plantillas de correo electrónico del Gobierno Portugués de Finanzas e Impuestos. Requiere que los destinatarios hagan clic en un enlace dentro del correo electrónico para evitar ser engañados por los delincuentes. [HAGA CLIC EN LAS IMÁGENES PARA AMPLIAR]
1: Plantillas de correo electrónico de Lampion
En el detalle anterior, el correo electrónico informa problemas relacionados con la deuda para el año y adjunta un archivo malicioso. Cuando la víctima hace clic en el enlace disponible en el correo electrónico, el malware se descarga del servidor en línea generalmente alojado en depósitos AWS S3 (un repositorio confiable).
El archivo descargado llamado “FacturaNovembro-4492154–10_8.zip” tiene otros tres archivos en su interior: un archivo PDF, VBS y un archivo TXT. El archivo VBS es responsable de iniciar la cadena maliciosa cuando la víctima ejecuta manualmente el archivo.
Cómo funciona Lampión
Cuando la víctima abre el archivo VBS, comienza la cadena de infección. El script es un descargador de troyanos que obtiene dos archivos de los depósitos de AWS: un archivo ZIP llamado 0.zip y otro archivo identificado como DLL (P-19-2.dll ).
2 : Descripción general de alto nivel del modus operandi de Lampion
El archivo VBS está ofuscado para complicar su análisis y detección por parte de los motores antivirus. Los archivos descargados son la siguiente etapa del malware, donde el archivo .dll es el malware en sí (de hecho, está en el archivo PE) y el archivo ZIP, protegido por una contraseña, es una DLL que exporta algunas de las funciones cruciales importadas y ejecutado por el primer archivo ( P-19-2.dll ).
3 : Contraseña codificada dentro del malware
Como se muestra en la Fig. 3, la contraseña para descomprimir el archivo ZIP está codificada dentro del archivo P-19-2.dll.
Se cambia el nombre de este archivo a una extensión .exe y se coloca en el directorio C:UsersuserAppDataRoaming. También se crea un archivo .lnk en la carpeta de inicio de Windows para ejecutar el malware cada vez que se inicia el sistema operativo.
4: Parte del script Lampion VBS (la primera etapa)
Información exfiltrada al servidor C2.
El troyano Lampion es un malware desarrollado para atacar a ciudadanos portugueses. El archivo DLL dentro del archivo 0.zip descargado inicialmente tiene un nombre con un fuerte mensaje para Portugal: “ Tu grupo de tontos portugueses ” (escrito en caracteres chinos).
Se trata de una amenaza que sólo se ha observado atacando a ciudadanos portugueses, con una página de destino de servicios portugueses como “Autoridade Tributária e Aduaneira” (ATA) y “Energias de Portugal” (EDP).
Cuando se ejecuta con éxito en el dispositivo de la víctima con un sistema operativo Windows instalado, se roba una gran cantidad de información confidencial y se envía al servidor C2:
- Información sobre operaciones bancarias guardada en la caché y en el historial del navegador.
- Credenciales bancarias guardadas en navegadores web
- Información confidencial de otros archivos (archivos txt)
El malware también tiene capacidades de registro de pulsaciones de teclas y cuadro de diálogo que genera para obtener las credenciales escritas por la víctima.
Las capacidades de Lampion incluyen las siguientes acciones:
- Inicio de conexión remota
- Recuperación de recursos de red
- Manipulación y redireccionamiento de recursos de red.
- Recuperación de ruta de carpeta
- Comunicaciones de mensajes
- Cambios en los parámetros de comunicaciones.
- Funciones personalizadas
- Generación de cuadro de diálogo
- Almacenamiento de lógica de código
Después de obtener detalles sobre la víctima, el malware los envía a un servidor C2 disponible en Internet. A continuación se presentan algunos detalles sobre el portal C2 disponible en un servidor AWS EC2.
A través del portal C2, los operadores de malware pueden acceder a toda la información exfiltrada, el número de víctimas comprometidas agrupadas por organizaciones bancarias y algunos detalles sobre el dispositivo de la víctima:
- País
- Fecha y hora de acceso
- Sistema operativo
- Nombre de la computadora
- Motor antivirus instalado
- Versión
- Enchufar
Conclusión: medidas de prevención
Este troyano en particular se distribuye a través de correos electrónicos, mediante oleadas de phishing y de Spearphishing. Uno de los primeros pasos para mitigar esta amenaza es nunca descargar, abrir y ejecutar un archivo adjunto recibido por correo electrónico cuando el remitente es desconocido o el asunto del correo electrónico genera alguna sospecha. De hecho, este es un problema asociado con el protocolo de correo electrónico, ya que la decisión final de abrir el correo electrónico siempre está en el lado del destinatario (incluso si el correo electrónico es parte de una campaña de malspam).
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
No obstante, se pueden adoptar algunas medidas para mitigar este malware en particular:
- Instale software antivirus/antimalware: mantenga su dispositivo seguro contra ciberamenazas emergentes.
- Mantenga actualizado su software antivirus: no olvide que actualizar su base de datos antivirus es crucial para detectar las amenazas más recientes.
- Mantenga su sistema operativo actualizado: instale parches del sistema operativo cuando estén disponibles.
- Mantenga segura su información personal: no guarde su información personal en un archivo de texto en su escritorio. El uso de bóvedas criptográficas puede ayudarle a mantener segura su información.
- Piense antes de hacer clic: esta es generalmente la principal debilidad que aprovechan los delincuentes para ejecutar el malware en los dispositivos de la víctima.
Fuentes
- Dirigido a Portugal: un nuevo troyano ‘Lampion’ se ha difundido utilizando plantillas de correo electrónico del Gobierno portugués de Finanzas e Impuestos , Segurança Informática
- vbs.lampion , Malpedia