Si recibe un correo electrónico de una persona desconocida, compartiendo un documento de «Prueba de pago» de WeTransfer, tenga cuidado, ya que lo más probable es que sea malware.
Los investigadores de ciberseguridad de Cofense descubrieron que los actores de amenazas ahora están distribuyendo el malware Lampion de esta manera en un mayor volumen.
Lampion es un troyano conocido, capaz de robar datos confidenciales, como información bancaria, contraseñas y similares. Lo hace superponiendo formularios de inicio de sesión conocidos con los suyos propios y luego enviando los datos enviados a sus servidores de comando y control.
Distribución de lámparas
Lo que hace que esta campaña sea más peligrosa que otras campañas similares es el uso de WeTransfer. Este es un servicio de transferencia de archivos legítimo, lo que hace que sea extremadamente difícil para los sistemas de seguridad de correo electrónico marcarlo como malicioso. Además, este no es el único servicio legítimo del que abusan los delincuentes: también aprovechan Amazon Web Services (AWS), y así es como se hace.
Cuando una víctima recibe el correo electrónico, y si descarga el archivo, obtendrá un archivo ZIP con un script básico virtual (VBS) dentro. El script, si se ejecuta, se conecta a una instancia de AWS y toma dos archivos DLL, también en archivos ZIP protegidos. Estas DLL, cuando se activan (lo cual se hace automáticamente y sin interacción alguna por parte del usuario), se cargan en la memoria y permiten que Lampion funcione.
Lampion es un troyano conocido que se usa desde 2019. Comenzó como un malware dirigido primero a la comunidad de habla hispana y desde entonces se ha vuelto internacional. Este año, los investigadores dijeron que su distribución se aceleró, y algunos identificaron un enlace de nombre de host a Bazaar y LockBit.
El correo electrónico sigue siendo una de las mejores formas de distribuir virus, malware o ransomware, a pesar de que las herramientas de protección de correo electrónico han mejorado con los años. Hoy en día, los actores de amenazas pueden aprovechar una serie de herramientas gratuitas en la nube, como proveedores de alojamiento, organizadores de calendarios y similares, para eludir las medidas de seguridad y distribuir código malicioso a los puntos finales. (se abre en una pestaña nueva) alrededor del mundo.
Vía: BleepingComputer (se abre en una pestaña nueva)