Lampion
Lampion is de naam van een bank-trojan die momenteel wordt gebruikt om gebruikers in Portugal te targeten. De dreiging wordt verspreid via phishing-e-mails die beweren afkomstig te zijn van de Portugese overheid, en ze gebruiken vaak onderwerpen met betrekking tot schulden en belastingbetalingen - onderwerpen die waarschijnlijk de interesse van de gebruiker zullen aantrekken en hen ertoe bewegen de inhoud van de e-mail te controleren. Het gemeenschappelijke tussen al deze phishing-berichten is dat ze de slachtoffers aansporen een 'ZIP'-bestandsbijlage te downloaden met drie bestanden: een VBS-bestand, een document en een tekstbestand. Bij het uitvoeren van het VBS-bestand, maakt het script verbinding met een door Amazon gehoste server en wordt de payload van de Lampion Trojan opgehaald in de vorm van een 'DLL'-bestand.
Het lijkt erop dat de auteurs van de Lampion Trojan zich hebben gericht op het implementeren van functies met als doel het erg moeilijk te maken om de dreiging te analyseren - het blinkt uit in het vermijden van sandbox-omgevingen en dankzij de nodige maatregelen om de uitvoering te stoppen in het geval dat het de aanwezigheid van populaire detecteert hulpprogramma's voor het opsporen van malware. Als er niets is dat de uitvoering van de Lampion Trojan belemmert, zal het een nieuwe Windows Registersleutel toevoegen om het besturingssysteem opdracht te geven het bedreigende programma te starten wanneer de computer opstart.
De Trojan van Lampion Banking is in staat om informatie over de activiteit van de gebruiker op te halen tijdens het surfen op het web, en het kan hun verbinding manipuleren om ze naar door de aanvaller geselecteerde websites te brengen - op deze manier kan het slachtoffer naadloos worden doorgestuurd naar een phishing-pagina wanneer ze zijn proberen door een legitieme portal voor online bankieren te bladeren. Last but not least kunnen de exploitanten van de Lampion Trojan dialoogvensters spawnen, waardoor ze tweefactorauthenticatiesystemen en andere beveiligingsmaatregelen die bankportals gebruiken omzeilen.
Het is niet duidelijk of de Lampion Trojan het product is van een populaire cybercrime-organisatie, maar cybersecurity-onderzoekers verwachten dat de dreiging in andere campagnes in de toekomst zal worden gebruikt. Hoewel de huidige aanval uitsluitend op Portugese gebruikers is gericht, zal dit waarschijnlijk snel veranderen. Om uw systeem te beschermen tegen de Trojan van Lampion Banking en andere spraakmakende cyberdreigingen, moet u investeren in een gerenommeerd cybersecurityproduct.