Lampion
Lampion è il nome di un Trojan bancario attualmente utilizzato per gli utenti di destinazione in Portogallo. La minaccia viene distribuita tramite e-mail di phishing che dichiarano di provenire dal governo portoghese e spesso utilizzano argomenti correlati al pagamento di debiti e tasse, argomenti che possono attirare l'interesse dell'utente e attirarli nella revisione del contenuto dell'e-mail. La cosa comune tra tutti questi messaggi di phishing è che sollecitano le vittime a scaricare un allegato "ZIP" che contiene tre file: un file VBS, un documento e un file di testo. Dopo aver eseguito il file VBS, lo script si connetterà a un server ospitato su Amazon e recupererà il payload del Lampion Trojan sotto forma di un file 'DLL'.
Sembra che gli autori di Lampion Trojan si siano concentrati sull'implementazione di funzionalità il cui scopo è quello di rendere molto difficile l'analisi della minaccia: eccelle nell'evitare gli ambienti sandbox e grazie alle misure necessarie per interrompere la sua esecuzione nel caso in cui rilevi la presenza di popolari strumenti di debug del malware. Se non c'è nulla che ostacola l'esecuzione di Lampion Trojan, verrà aggiunta una nuova chiave di registro di Windows per comandare al sistema operativo di avviare il programma minaccioso ogni volta che il computer si avvia.
Il Trojan Lampion Banking è in grado di recuperare informazioni sull'attività dell'utente durante la navigazione sul Web e può manipolare la loro connessione per portarli a siti Web selezionati dall'aggressore; in questo modo, la vittima può essere reindirizzata senza problemi a una pagina di phishing quando lo è cercando di navigare in un portale bancario online legittimo. Ultimo ma non meno importante, gli operatori del Trojan Lampion possono generare finestre di dialogo, che possono consentire loro di bypassare i sistemi di autenticazione a due fattori e altre misure di sicurezza utilizzate dai portali bancari.
Non è chiaro se Lampion Trojan sia il prodotto di una popolare organizzazione per la criminalità informatica, ma i ricercatori sulla sicurezza informatica si aspettano di vedere la minaccia utilizzata in altre campagne in futuro. Mentre l'attuale attacco si concentra esclusivamente sugli utenti portoghesi, è probabile che questo cambi presto. Per proteggere il sistema dal Trojan bancario Lampion e da altre minacce informatiche di alto profilo, è necessario investire in un prodotto affidabile per la sicurezza informatica.