Lampion

Lampion to nazwa trojana bankowego, który jest obecnie wykorzystywany do atakowania użytkowników w Portugalii. Zagrożenie rozprzestrzenia się za pośrednictwem wiadomości e-mail typu phishing, które rzekomo pochodzą od rządu portugalskiego, i często wykorzystują tematy związane z płatnościami i zadłużeniami i podatkami - tematy, które mogą przyciągnąć zainteresowanie użytkownika i zachęcić go do przejrzenia zawartości wiadomości e-mail. Wspólną cechą wszystkich tych wiadomości phishingowych jest zachęcanie ofiar do pobrania załącznika do pliku ZIP zawierającego trzy pliki - plik VBS, dokument i plik tekstowy. Po uruchomieniu pliku VBS skrypt połączy się z serwerem hostowanym przez Amazon i pobierze ładunek trojana Lampion w postaci pliku DLL.

Wydaje się, że autorzy trojana Lampion skoncentrowali się na implementacji funkcji, których celem jest bardzo utrudnienie analizy zagrożenia - specjalizuje się w unikaniu środowisk piaskownicy i dzięki niezbędnym środkom, aby zatrzymać jego wykonanie w przypadku wykrycia obecności popularnych narzędzia do debugowania złośliwego oprogramowania. Jeśli nic nie stoi na przeszkodzie, aby uruchomić trojana Lampion, doda nowy klucz rejestru Windows, aby nakazać systemowi operacyjnemu uruchomienie programu stanowiącego zagrożenie przy każdym uruchomieniu komputera.

Trojan Lampion Banking jest w stanie odzyskać informacje o aktywności użytkownika podczas przeglądania sieci i może manipulować jego połączeniem, aby przenieść je na strony wybrane przez atakującego - w ten sposób ofiara może zostać bezproblemowo przekierowana na stronę phishingową próba przeglądania legalnego portalu bankowości internetowej. Wreszcie, operatorzy trojana Lampion mogą odradzać okna dialogowe, które mogą pozwolić im ominąć dwuskładnikowe systemy uwierzytelniania i inne zabezpieczenia stosowane przez portale bankowe.

Nie jest jasne, czy trojan Lampion jest produktem popularnej organizacji zajmującej się cyberprzestępczością, ale badacze cyberbezpieczeństwa oczekują, że zagrożenie zostanie wykorzystane w innych kampaniach w przyszłości. Obecny atak koncentruje się wyłącznie na portugalskich użytkownikach, ale wkrótce może się to zmienić. Aby chronić swój system przed trojanem Lampion Banking i innymi znanymi zagrożeniami cybernetycznymi, powinieneś zainwestować w renomowany produkt cyberbezpieczeństwa.