NBX Soluciones

2
Llámanos

Ataques de Phishing abusan de Vulnerabilidad de WeTransfer con malware Lampion

  • 4:13 pm

 

Usuarios han reportado la distribución del malware Lampion, con actores de amenazas que abusan de WeTransfer para sus campañas de phishing.

 

Por lo que WeTransfer anunció que ya revisa las filtraciones que han vulnerado su sistema de seguridad para identificar la amenaza.

 

La empresa de envío de archivos brinda un servicio legítimo que se puede usar de manera gratuita, por lo que es una manera muy astuta de eludir el sistema de seguridad que puede no generar alarma sobre las URL usadas en los correos electrónicos envidados.

 

Cofense, una empresa de seguridad de correo electrónico, ha monitoreado de cerca esta campaña de phishing, donde los operadores de Lampion han enviado correos electrónicos maliciosos desde cuentas de supuestas empresas que instan a los usuarios a descargar una “Prueba de Pago” a través de WeTransfer.

 

El archivo malicioso viene adjunto en un ZIP que contiene un VBS (Virtual Basic Script) que la víctima debe ejecutar para que inicie el ataque. 

 

Una vez ejecutado el archivo, el script empieza un proceso de WScript que crea archivos de VBS con nombres aleatorios. El primero está vacío, el segundo tiene una funcionalidad mínima y el único propósito del tercero es comenzar el cuarto.

 

Expertos afirman que el cuarto paso de este malware no es claro, pero los enfoques de ejecución modular se prefiere por su versatilidad, lo que facilita el cambio de archivos de manera fácil.

 

El último script pone en marcha un proceso de WScript que se conecta a dos URL codificadas para obtener dos archivos DLL escondidos dentro de ZIP protegidos con una contraseña. Las URL llevan a direcciones de AWS.

 

De ahí, Lampion comienza a robar datos almacenados en el ordenador, buscando cuentas bancarias, obteniendo inyecciones del C2 y superponiendo sus propios formularios de inicio de sesión en las páginas de inicio. Y cuando el usuario ingresa sus datos, los formularios falsos envían los datos al atacante. 

 

Lampion renovado

 

El troyano Lampion existe desde al menos 2019, centrándose principalmente en objetivos de habla hispana y utilizando servidores comprometidos para alojar sus ZIP maliciosos.

 

Más recientemente, en marzo de 2022, Cyware informó un aumento en la distribución del troyano, identificando un enlace de nombre de host a las operaciones de Bazaar y LockBit.

 

NBX Soluciones 2022.

Facebook
Twitter
LinkedIn
WhatsApp

Ultimas entradas

Categorías
Archivo
¡Google cumple 25 años!

¡Google cumple 25 años!

Google, una de las empresas más influyentes y exitosas del mundo, tiene una historia fascinante que abarca poco más de dos décadas. Fundada por Larry Page y Sergey Brin en

Leer Completo
Elon Musk quiere que Twitter sea de pago para todos los usuarios

Elon Musk quiere que Twitter sea de pago para todos los usuarios

Elon Musk, el nuevo propietario de Twitter, ha anunciado que la plataforma pasará a ser de pago para todos los usuarios, incluidos los que actualmente utilizan la versión gratuita. Musk

Leer Completo
13 de Septiembre: historía del Día del Programador

13 de Septiembre: historía del Día del Programador

El Día del Programador es una festividad que se celebra en honor a los profesionales de la programación y la informática. Aunque no es una festividad ampliamente reconocida en todo

Leer Completo