該木馬是通過仿冒電子郵件發送的,這些仿冒電子郵件似乎來自葡萄牙政府的財政與稅收。
該電子郵件報告了與2018年債務相關的問題。
安全研究人員發現了一種名爲Lampion的新木馬。該木馬通過網絡釣魚電子郵件分發,並針對葡萄牙語用戶。
它如何傳播?
根據Segurance Informatica -Lab(SI-Lab)的報告,用於分發特洛伊木馬的網絡釣魚電子郵件似乎來自葡萄牙政府財政和稅務局。該電子郵件報告了與2018年債務相關的問題。
它要求收件人單擊電子郵件中的鏈接,以避免被罪犯誤導。當意外的受害者單擊電子郵件正文上的可用鏈接時,惡意軟件將從在線服務器下載。
下載的文件是名爲’FacturaNovembro-4492154-2019-10_8.zip’的壓縮Zip文件。用戶解壓縮該文件時,他們將看到三個文件-PDF,VBS和文本文件。
文件是關於什麼的?
文件’FacturaNovembro-4492154-2019-10_8.zip’是Lampion感染鏈的第一階段。這是一個VBScript文件,可充當拖放程序和下載器。
刪除程序從Internet上可用的受感染服務器上的AWS S3存儲桶下載下一階段。
執行VBScript文件後,將下載兩個文件-P-19-2.dll和0.zip。P-19-2.dll文件是在受影響的計算機啓動時在VBScript執行期間執行的PE文件。這個P-19-2.dll文件實際上是Lampion木馬。
該DLL包含中文名稱,並針對葡萄牙語用戶提供了針對性的消息。
什麼是Lampion?
Lampion看起來像Trojan-Banker.Win32.ChePro家族的即興形式,它是在Delphi中開發的。
它包含防調試和防VM技術,這使得在沙盒環境或手動操作上都很難,捕獲的Lampion樣本中的某些功能包括以下操作:
遠程連接啓動
網絡資源檢索
網絡資源操縱和重定向
文件夾路徑檢索
訊息通訊
通信參數更改
自定義功能
對話框生成
代碼邏輯存儲
Lampion特洛伊木馬涉及捕獲屬於用戶和受感染系統的數據。收集的信息包括系統信息頁面,已安裝的軟件,Web瀏覽器歷史記錄,剪貼板,文件系統的詳細信息等。
該木馬還允許黑客通過專門設計的Web界面訪問和操縱受感染的計算機。
原文:http://www.ots-sec.cn/ots911/vip_doc/16026868.html