Wenn Sie eine E-Mail von einer unbekannten Person erhalten, die ein „Zahlungsnachweis“-Dokument von WeTransfer weitergibt, seien Sie vorsichtig, da es sich höchstwahrscheinlich um Malware handelt.
Cybersicherheitsforscher von Cofense haben herausgefunden, dass Bedrohungsakteure Lampion-Malware jetzt in größerem Umfang auf diese Weise verbreiten.
Lampion ist ein bekannter Trojaner, der sensible Daten wie Bankdaten, Passwörter usw. stehlen kann. Dies geschieht, indem es bekannte Anmeldeformulare überlagert und dann die übermittelten Daten an seine Befehls- und Kontrollserver sendet.
Laternenverteilung
Was diese Kampagne gefährlicher als andere ähnliche Kampagnen macht, ist die Verwendung von WeTransfer. Es handelt sich um einen legitimen Dateiübertragungsdienst, der es für E-Mail-Sicherheitssysteme äußerst schwierig macht, ihn als bösartig zu kennzeichnen. Außerdem ist es nicht der einzige legitime Dienst, der von Betrügern missbraucht wird: Sie nutzen auch Amazon Web Services (AWS), und so wird es gemacht.
Wenn ein Opfer die E-Mail erhält und die Datei herunterlädt, erhält es eine ZIP-Datei mit einem virtuellen Datenbankskript (VBS) darin. Wenn das Skript ausgeführt wird, stellt es eine Verbindung zu einer AWS-Instanz her und ruft zwei DLLs ab, ebenfalls in geschützten ZIP-Dateien. Diese DLLs werden bei Aktivierung (was automatisch und ohne Benutzerinteraktion geschieht) in den Speicher geladen und ermöglichen Lampion zu funktionieren.
Lampion ist ein bekanntes Trojanisches Pferd, das seit 2019 im Einsatz ist. Es begann als Malware, die zunächst auf die spanischsprachige Community abzielte, und hat sich seitdem international verbreitet. In diesem Jahr sagten Forscher, dass sich die Verbreitung beschleunigt hat, wobei einige einen Hostnamen-Link zu Bazaar und LockBit identifizierten.
E-Mail bleibt eine der besten Möglichkeiten, Viren, Malware oder Ransomware zu verbreiten, auch wenn sich E-Mail-Schutztools im Laufe der Jahre verbessert haben. Heute können Bedrohungsakteure eine Reihe kostenloser Cloud-Tools wie Hosting-Anbieter, Kalenderorganisatoren usw. nutzen, um Sicherheitsmaßnahmen zu umgehen und bösartigen Code an Endpunkte (wird in einem neuen Tab geöffnet) weltweit zu verteilen.
Über: BleepingComputer (Öffnet in einem neuen Tab)