WeTransfer’dan bir “Ödeme Kanıtı” belgesi paylaşan tanımadığınız bir kişiden bir e-posta alırsanız, büyük olasılıkla kötü amaçlı yazılım olduğundan dikkatli olun.
Cofense’den siber güvenlik araştırmacıları, tehdit aktörlerinin Lampion kötü amaçlı yazılımını bu şekilde daha büyük bir hacimde dağıttığını keşfetti.
Lampion, bankacılık bilgileri, şifreler ve benzerleri gibi hassas verileri çalabilen bilinen bir truva atıdır. Bunu, bilinen oturum açma formlarını kendisininkiyle örtüştürerek ve ardından gönderilen verileri komut ve kontrol sunucularına göndererek yapar.
Lampion dağılımı
Bu kampanyayı diğer benzer kampanyalardan daha tehlikeli yapan şey WeTransfer’ın kullanılmasıdır. Bu meşru bir dosya aktarım hizmetidir ve e-posta güvenlik sistemlerinin kötü amaçlı olarak işaretlemesini son derece zorlaştırır. Dahası, bu, dolandırıcıların kötüye kullandığı tek meşru hizmet değil – aynı zamanda Amazon Web Servislerinden (AWS) yararlanıyorlar ve işte böyle.
Bir kurban e-postayı aldığında ve dosyayı indirirse, içinde Sanal Temel Komut Dosyası (VBS) bulunan bir ZIP arşivi alır. Komut dosyası çalıştırılırsa, bir AWS örneğine bağlanır ve korumalı ZIP arşivlerinde de bulunan iki DLL dosyasını alır. Bu DLL’ler etkinleştirildiğinde (otomatik olarak ve herhangi bir kullanıcı etkileşimi olmadan yapılır) belleğe yüklenir ve Lampion’un çalışmasına izin verir.
Lampion, 2019’dan beri kullanılan bilinen bir truva atıdır. Bu yıl araştırmacılar, dağıtımının hız kazandığını ve bazılarının Bazaar ve LockBit’e bir ana bilgisayar adı bağlantısı belirlediğini söyledi.
E-posta koruma araçlarının yıllar içinde daha iyi hale gelmesine rağmen, e-posta hala virüsleri, kötü amaçlı yazılımları veya fidye yazılımlarını dağıtmanın en iyi yollarından biridir. Günümüzde tehdit aktörleri, güvenlik önlemlerini atlamak ve uç noktalara kötü amaçlı kod dağıtmak için barındırma sağlayıcıları, takvim düzenleyiciler ve benzerleri gibi bir dizi ücretsiz bulut aracından yararlanabilir. (yeni sekmede açılır) dünya çapında.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
