WeTransfer est un véritable site Web de partage de fichiers gratuit. Pour certains escrocs, la solution offre une technique gratuite pour naviguer dans un logiciel de sécurité qui détecte les URL dans les e-mails.
Selon l’entreprise de sécurité Cofense, les opérateurs de logiciels malveillants Lampion envoient des e-mails de phishing en utilisant des comptes d’entreprise piratés, en appuyant sur consommateurs de télécharger un fichier « Preuve de paiement » depuis WeTransfer. Le fichier envoyé est un package ZIP composé d’un VBS (script de base virtuel) que les victimes doivent exécuter pour que l’attaque démarre.
Comment cela met-il en péril les fabricants
Lorsqu’il est exécuté, le Le script commence une procédure WScript qui génère 4 fichiers VBS en utilisant des noms aléatoires. Le premier est vide, le second a peu d’utilité et le 3ème sert exclusivement à exécuter le quatrième script.
Il n’est pas tout à fait clair pourquoi les cybercriminels effectuent l’action supplémentaire, mais selon les professionnels de Cofense, les choix d’exécution modulaires sont souvent préférés pour leur adaptabilité, permettant des échanges de fichiers rapides.
Le quatrième script démarre une nouvelle procédure WScript qui établit un lien vers 2 URL codées en dur et obtient 2 fichiers DLL cachés dans des ZIP protégés par mot de passe. Les liens mènent aux circonstances Amazon AWS. Les mots de passe des fichiers ZIP sont codés en dur dans le script, ce qui permet d’extraire les archives sans intervention de l’utilisateur.
Les utilisateurs doivent faire attention aux e-mails non sollicités
Lampion peut fonctionner discrètement sur des systèmes compromis étant donné que les charges utiles DLL sont injectées en mémoire. Le logiciel malveillant commence à prendre des données sur le fabricant, à vérifier le compte en obtenant des injections du C2 et en superposant ses types de connexion sur les sites de connexion.
Lorsque les utilisateurs envoient leurs qualifications, de faux formulaires de connexion sont pris et transférés au pirate. . Le logiciel malveillant Lampion est actif depuis au moins 2019, ciblant généralement des cibles hispanophones et hébergeant des fichiers ZIP nuisibles sur des sites piratés.
Selon l’analyse actuelle de Cofense, Lampion est un risque actif et délicat, et les utilisateurs doit faire attention aux e-mails non sollicités demandant des téléchargements de fichiers, même de la part de sociétés de cloud décentes.
Toute l’actualité en temps réel, est sur L’Entrepreneur
