fbpx

NBX Soluciones

Ataques de Phishing abusan de Vulnerabilidad de WeTransfer con malware Lampion

 

Usuarios han reportado la distribución del malware Lampion, con actores de amenazas que abusan de WeTransfer para sus campañas de phishing.

 

Por lo que WeTransfer anunció que ya revisa las filtraciones que han vulnerado su sistema de seguridad para identificar la amenaza.

 

La empresa de envío de archivos brinda un servicio legítimo que se puede usar de manera gratuita, por lo que es una manera muy astuta de eludir el sistema de seguridad que puede no generar alarma sobre las URL usadas en los correos electrónicos envidados.

 

Cofense, una empresa de seguridad de correo electrónico, ha monitoreado de cerca esta campaña de phishing, donde los operadores de Lampion han enviado correos electrónicos maliciosos desde cuentas de supuestas empresas que instan a los usuarios a descargar una “Prueba de Pago” a través de WeTransfer.

 

El archivo malicioso viene adjunto en un ZIP que contiene un VBS (Virtual Basic Script) que la víctima debe ejecutar para que inicie el ataque. 

 

Una vez ejecutado el archivo, el script empieza un proceso de WScript que crea archivos de VBS con nombres aleatorios. El primero está vacío, el segundo tiene una funcionalidad mínima y el único propósito del tercero es comenzar el cuarto.

 

Expertos afirman que el cuarto paso de este malware no es claro, pero los enfoques de ejecución modular se prefiere por su versatilidad, lo que facilita el cambio de archivos de manera fácil.

 

El último script pone en marcha un proceso de WScript que se conecta a dos URL codificadas para obtener dos archivos DLL escondidos dentro de ZIP protegidos con una contraseña. Las URL llevan a direcciones de AWS.

 

De ahí, Lampion comienza a robar datos almacenados en el ordenador, buscando cuentas bancarias, obteniendo inyecciones del C2 y superponiendo sus propios formularios de inicio de sesión en las páginas de inicio. Y cuando el usuario ingresa sus datos, los formularios falsos envían los datos al atacante. 

 

Lampion renovado

 

El troyano Lampion existe desde al menos 2019, centrándose principalmente en objetivos de habla hispana y utilizando servidores comprometidos para alojar sus ZIP maliciosos.

 

Más recientemente, en marzo de 2022, Cyware informó un aumento en la distribución del troyano, identificando un enlace de nombre de host a las operaciones de Bazaar y LockBit.

 

NBX Soluciones 2022.

Facebook
Twitter
LinkedIn
WhatsApp

Ultimas entradas

Nube privada vs. servicios en la nube pública ¿Qué opción es la mejor para ti?

Nube privada vs. servicios en la nube pública ¿Qué opción es la mejor para ti?

En la era digital actual, tanto las personas como las empresas almacenan una gran cantidad de datos. Ya sea que se trate de documentos confidenciales, fotos personales o archivos multimedia,

Si usas Python, puedes estar infectado con INFOSTEALER

Si usas Python, puedes estar infectado con INFOSTEALER

Infostealer malware es un tipo de software malicioso diseñado para robar información sensible de sistemas infectados. Puede capturar datos como credenciales de inicio de sesión, detalles personales e historial de navegación. A

¡WikiCumpleaños! Conociendo la Primera Wiki de la Historia

¡WikiCumpleaños! Conociendo la Primera Wiki de la Historia

¡Las Wikis son una parte fundamental de internet hoy en día! Pero, ¿te has preguntado alguna vez cuál fue la primera? En este blog post viajaremos un poco al pasado