Lampion
Lampion est le nom d'un cheval de Troie bancaire qui est actuellement utilisé pour cibler des utilisateurs au Portugal. La menace est distribuée via des e-mails de phishing qui prétendent provenir du gouvernement portugais, et ils utilisent souvent des sujets liés aux paiements de la dette et des impôts - des sujets susceptibles d'attirer l'intérêt de l'utilisateur et de les inciter à examiner le contenu de l'e-mail. La chose commune à tous ces messages de phishing est qu'ils incitent les victimes à télécharger une pièce jointe «ZIP» contenant trois fichiers - un fichier VBS, un document et un fichier texte. Lors de l'exécution du fichier VBS, le script se connecte à un serveur hébergé par Amazon et récupère la charge utile du cheval de Troie Lampion sous la forme d'un fichier «DLL».
Il semble que les auteurs du Lampion Trojan se soient concentrés sur la mise en œuvre de fonctionnalités dont le but est de rendre l'analyse de la menace très difficile - il excelle à éviter les environnements sandbox, et grâce aux mesures nécessaires pour arrêter son exécution au cas où il détecterait la présence de outils de débogage de logiciels malveillants. S'il n'y a rien pour gêner l'exécution du cheval de Troie Lampion, il ajoutera une nouvelle clé de registre Windows pour commander au système d'exploitation de lancer le programme menaçant à chaque démarrage de l'ordinateur.
Le cheval de Troie bancaire Lampion est capable de récupérer des informations sur l'activité de l'utilisateur lors de sa navigation sur le Web, et il peut manipuler sa connexion pour les diriger vers des sites Web sélectionnés par l'attaquant - de cette façon, la victime peut être redirigée de manière transparente vers une page de phishing lorsqu'elle est essayer de parcourir un portail bancaire en ligne légitime. Enfin, les opérateurs du cheval de Troie Lampion peuvent faire apparaître des boîtes de dialogue, ce qui peut leur permettre de contourner les systèmes d'authentification à deux facteurs et d'autres mesures de sécurité que les portails bancaires utilisent.
Il n'est pas clair si le cheval de Troie Lampion est le produit d'une organisation populaire de cybercriminalité, mais les chercheurs en cybersécurité s'attendent à voir la menace utilisée dans d'autres campagnes à l'avenir. Bien que l'attaque actuelle se concentre exclusivement sur les utilisateurs portugais, cela devrait bientôt changer. Pour protéger votre système contre le cheval de Troie bancaire Lampion et d'autres cyber-menaces de haut niveau, vous devez investir dans un produit de cybersécurité réputé.