Lampion

Lampion é o nome de um Trojan bancário que está sendo usado para segmentar usuários em Portugal atualmente. A ameaça é distribuída por e-mails de phishing que alegam vir do governo português e costumam usar assuntos relacionados a pagamentos de dívidas e impostos - tópicos que provavelmente atraem o interesse do usuário e os atraem a revisar o conteúdo do e-mail. O comum entre todas essas mensagens de phishing é que elas pedem às vítimas que baixem um anexo de arquivo 'ZIP' com três arquivos - um arquivo VBS, um documento e um arquivo de texto. Ao executar o arquivo VBS, o script se conectará a um servidor hospedado na Amazon e buscará a carga útil do Trojan Lampion na forma de um arquivo 'DLL'.

Parece que os autores do Trojan Lampion se concentraram na implementação de recursos cujo objetivo é dificultar a análise da ameaça - ele se destaca em evitar ambientes sandbox e, graças às medidas necessárias para interromper sua execução, caso detecte a presença de populares ferramentas de depuração de malware. Se não houver nada que atrapalhe a execução do Trojan Lampion, ele adicionará uma nova Chave do Registro do Windows para comandar o sistema operacional para iniciar o programa ameaçador sempre que o computador inicializar.

O Trojan Banking Lampion é capaz de recuperar informações sobre a atividade do usuário enquanto navega na Web e pode manipular sua conexão para levá-los a sites selecionados pelo atacante - dessa forma, a vítima pode ser redirecionada diretamente para uma página de phishing quando estiver tentando navegar em um portal bancário on-line legítimo. Por último, mas não menos importante, os operadores do Troion Lampion podem gerar caixas de diálogo, o que pode permitir que eles ignorem os sistemas de autenticação de dois fatores e outras medidas de segurança usadas pelos portais bancários.

Não está claro se o Trojan Lampion é o produto de uma organização popular de crimes cibernéticos, mas os pesquisadores de segurança cibernética esperam ver a ameaça sendo usada em outras campanhas no futuro. Embora o ataque atual se concentre exclusivamente nos usuários portugueses, é provável que isso mude em breve. Para proteger seu sistema contra o Trojan Banking Lampion e outras ameaças cibernéticas de alto perfil, você deve investir em um produto respeitável de segurança cibernética.