Malware Lampion Kembali Dalam Serangan Phising yang Memanfaatkan WeTransfer
illustrasi
Cyberthreat.id – Perusahaan keamanan email Cofense mengungkapkan malware ampion didistribusikan dalam volume yang lebih besar akhir-akhir ini, dengan memanfaatkan WeTransfer dalam kampanye phishing mereka.
WeTransfer merupakan layanan berbagi file yang sah yang dapat digunakan secara gratis, jadi ini adalah cara gratis untuk melewati perangkat lunak keamanan yang mungkin tidak memunculkan peringatan tentang URL yang digunakan dalam email.
Dikutip dari Bleeping Computer, dalam kampanye terbaru, operator Lampion mengirim email phishing dari akun perusahaan yang disusupi, mendesak pengguna untuk mengunduh dokumen bukti pembayaran dari WeTransfer. File yang diterima target adalah arsip ZIP yang berisi file VBS (Virtual Basic script) yang harus diluncurkan korban agar serangan dapat dimulai.
Setelah dieksekusi, skrip memulai proses WScript yang membuat empat file VBS dengan penamaan acak. Yang pertama kosong, yang kedua memiliki fungsionalitas minimal, dan satu-satunya tujuan ketiga adalah meluncurkan skrip keempat.
“Langkah ekstra ini tidak jelas, tetapi pendekatan eksekusi modular biasanya lebih disukai karena keserbagunaannya, memungkinkan pertukaran file yang mudah,” kata peneliti Cofense.
Peneliti mengatakan, skrip keempat meluncurkan proses WScript baru yang menghubungkan ke dua URL hardcode untuk mengambil dua file DLL yang bersembunyi di dalam ZIP yang dilindungi kata sandi. URL mengarah ke instans Amazon AWS.
Kata sandi untuk file ZIP di-hardcode dalam skrip, sehingga arsip diekstraksi tanpa memerlukan interaksi pengguna. Muatan DLL yang terkandung dimuat ke dalam memori, memungkinkan Lampion untuk dieksekusi secara diam-diam pada sistem yang disusupi.
Dari sana, Lampion mulai mencuri data dari komputer, menargetkan rekening bank dengan mengambil suntikan dari C2 dan melapisi formulir loginnya sendiri di halaman login. Ketika pengguna memasukkan kredensial mereka, formulir login palsu ini akan dicuri dan dikirim ke penyerang.
Seperti diketahui, trojan Lampion telah ada setidaknya sejak 2019, dengan fokus terutama pada target berbahasa Spanyol dan menggunakan server yang disusupi untuk meng-host ZIP berbahayanya. Pada tahun 2021, Lampion terlihat menyalahgunakan layanan cloud untuk hosting malware untuk pertama kalinya, termasuk Google Drive dan pCloud.
Baru-baru ini, pada Maret 2022, Cyware melaporkan peningkatan dalam distribusi trojan, mengidentifikasi tautan nama host ke operasi Bazaar dan LockBit.
Cyware juga melaporkan bahwa penulis Lampion secara aktif mencoba membuat malware mereka lebih sulit untuk dianalisis dengan menambahkan lebih banyak lapisan kebingungan dan kode sampah.
Laporan terbaru Cofense menunjukkan bahwa Lampion adalah ancaman aktif dan tersembunyi, dan pengguna harus berhati-hati dengan email yang tidak diminta yang meminta mereka untuk mengunduh file, bahkan dari layanan cloud yang sah.
