Lampion Malware กลับมาแพร่กระจายในจำนวนมากอีกครั้ง ผ่านแคมเปญฟิชชิ่งโดยการใช้ WeTransfer
WeTransfer เป็นบริษัท File-Share ที่เป็นที่รู้จัก และสามารถใช้งานได้ฟรี ดังนั้นผู้โจมตีไม่ต้องลงทุนหาวิธีในการหลีกเลี่ยงการตรวจจับจากซอฟแวร์ด้านความปลอดภัย เมื่อมีการแนบ URL ของ WeTransfer มาใน Email
จากรายงานของบริษัทด้าน Email Security อย่าง Cofense ระบุว่า Lampions ได้ส่ง Phishing Email จากบัญชีบริษัทที่ถูกโจมตี และโน้มน้าวให้ผู้ใช้งานทำการดาวน์โหลดเอกสาร "หลักฐานการชำระเงิน" จาก WeTransfer
เมื่อทำการดาวน์โหลด ไฟล์ที่เป้าหมายได้รับจะเป็น ZIP file ที่มี File VBS(Virtual Basic script) อยู่ด้วย และเหยื่อจะต้องเปิดไฟล์เพื่อดำเนินการต่อไป
จากนั้น WScript จะสร้าง VBS ไฟล์มาทั้งหมด 4 ไฟล์ ด้วยการสุ่มชื่อ โดยไฟล์แรกจะเป็นไฟล์เปล่า ๆ ไฟล์ที่ 2 จะมี function การทำงานเล็กน้อย ไฟล์ที่ 3 จะใช้เพื่อรัน script ของไฟล์ที่ 4
นักวิเคราะห์ของ Cofense ระบุว่ามีขั้นตอนพิเศษบางอย่างที่ยังไม่ชัดเจน แต่การโจมตีในลักษณะแยกส่วนแบบนี้เพื่อทำให้ผู้โจมตีสามารถสลับไฟล์ที่ใช้ได้ง่าย
script ไฟล์ที่ 4 นั้น จะทำการเปิด WScript ใหม่เพื่อเชื่อมต่อกลับไปยัง URL hardcode สองรายการ เพื่อไปดึงไฟล์ DLL สองไฟล์ที่ซ่อนอยู่ภายในไฟล์ ZIP ที่ใส่รหัสผ่าน โดย URL จะชี้ไปที่ instances บน Amazon AWS
รหัสผ่านของไฟล์ ZIP นั้นคือ hardcode ที่อยู่ภายใน script ทำให้การแตกไฟล์นั้นไม่จำเป็นต้องให้เหยื่อดำเนินการ จากนั้น DLL payload จะถูกโหลดลงใน memory ทำให้ Lampion สามารถดำเนินการอย่างเงียบ ๆ ได้
จากนั้น Lampion จะทำการขโมยข้อมูลบัญชีธนาคารจากเครื่องเป้าหมายด้วยการแทรก login forms ซ้อนทับบนแบบฟอร์ม login ตามปกติ เมื่อผู้ใช้งานใส่ข้อมูลเพื่อทำการเข้าสู่ระบบ ข้อมูลนั้นจะถูกขโมย และส่งไปยัง C2 ของผู้โจมตี
Trojan Lampion ถูกพบมาตั้งแต่ปี 2019 โดยมุ่งเป้าไปที่ผู้ใช้ภาษาสเปน ต่อมาในปี 2021 Lampion ถูกพบว่าใช้ Malware บนบริการของ cloud เป็นครั้งแรก รวมถึง Google Drive และ pCloud และล่าสุดเมื่อ มีนาคม 2022 Cyware ได้รายงานว่ามีการแพร่กระจายด้วยการใช้ hostname ที่มีส่วนเกี่ยวข้องกับกลุ่ม Bazaar และ LockBit อีกทั้งยังมีรายงานอีกว่า Lampion พยายามเขียน Malware ให้มีความซับซ้อน และวิเคราะห์ได้ยากยิ่งขึ้น
สุดท้ายนี้รายงานล่าสุดของ Cofense ระบุว่า Lampion เป็นภัยคุกคามที่ยังคงอันตรายอยู่ และแนะนำให้ผู้ใช้งานควรระมัดระวังการใช้งาน Email ที่ขอให้ดาวน์โหลดไฟล์แม้ไฟล์นั้นจะอยู่บน Cloud service ที่เป็นที่รู้จักก็ตาม
ที่มา: bleepingcomputer
You must be logged in to post a comment.