Securitybedrijf Cofense waarschuwt dat malwarevariant Lampion steeds vaker opduikt. Aanvallers misbruiken WeTransfer om de malware met phishing-campagnes te verspreiden.

WeTransfer is een gratis webtool voor het delen van bestanden. Sommige cybercriminelen gebruiken het platform als goedkope tool voor het omzeilen van securitysoftware die kwaadaardige URL’s in mails detecteert.

Securitybedrijf Cofense meldt dat Lampion wordt verspreid met gehackte bedrijfsaccounts en phishing mails. Slachtoffers worden per mail gepusht om een ‘betalingsbewijs’ op WeTransfer te downloaden. Het WeTransfer-bestand is een ZIP-pakket met een VBS (Virtual Basic script). De malware activeert zodra een slachtoffer het VBS uitvoert.

Lampion

Het VBS start een WScript-proces dat vier nieuwe VBS-bestanden met willekeurige namen genereert. Het eerste is leeg, het tweede lijkt betekenisloos en het derde dient alleen om het vierde script uit te voeren.

Het vierde script start een nieuw WScript-proces. Het proces linkt naar twee hard-coded URL’s en twee DLL-bestanden die worden verborgen in versleutelde ZIP-bestanden. De links verwijzen naar Amazon AWS instances. De wachtwoorden voor de ZIP-bestanden zijn hard-coded, waardoor de archieven uitgepakt kunnen worden zonder tussenkomst van de gebruiker.

Onderzoekers kunnen het proces niet met zekerheid verklaren, maar volgens securityexperts van Cofense vallen de meeste malwaregroepen met meerdere stappen aan. Een modulaire aanval wordt minder snel ontdekt.

Ongevraagde e-mails

Lampion injecteert DLL payloads in het memory van een systeem. Als gevolg kan de malware onontdekt opereren. Lampion vervangt legitieme inlogwebpagina’s met nagemaakte websites, waarna de inloggegevens van slachtoffers worden weggesluisd.

Lampion is sinds 2019 bij securityonderzoekers bekend. De malwarevariant focust op Spaanstalige doelwitten en host kwaadaardige ZIP-bestanden op gehackte sites. Securitybedrijf Cofense adviseert bedrijven om waakzaam te blijven voor e-mails en bijlagen, zelfs wanneer het bericht of de bijlage van een bekende cloudprovider komt.

Tip: AI brengt cybersecurity vooruit, maar biedt ook hackers volop kansen