Trojan Lampion 3个月后又回来了

作者

Trojan Lampion在3个月后又回来了。最近几天发现该恶意软件带有新的混淆层,新的C2,并在MSI文件中分发。

Trojan Lampion  是一种在2019年底观察到的恶意软件,使用 来自葡萄牙政府财政与税收和  EDP​​的模板电子邮件对葡萄牙用户产生了影响。

根据0xSI_f33d  –  葡萄牙语滥用公开消息中提供的威胁指标,在2020年2月观察到了葡萄牙的最新战役  。在2020年5月期间,使用模板电子邮件模拟了  该恶意软件的新修改版,该模板电子邮件模拟了银行交易发票,沃达丰集团发票,以及在另一种情况下葡萄牙政府提供的紧急资金来帮助COVID-19作战

下面提供了有关Lampion如何在2020年5月在葡萄牙分发的电子邮件模板。

Lampion电子邮件模板– 2020年5月

沙伯转移模板

2020年5月8日,使用SAPO Transfer Cloud和与银行转账相关的电子邮件使用模板分发了新版本的Lampion木马。

Lampion电子邮件-sapo_-1024x918

图1:  通过SAPO TRANSFER云分发的Lampion恶意软件。

如先前的活动所述,该威胁与其他文档一起分布在VBS文件中,以诱骗受害者。

图2:  骗子在PDF文件中包含的消息。

沃达丰集团发票模板

在这种情况下,使用了Microsoft Installer(MSI)文件来传播威胁。恶意文件是从Google API云下载的。

图3:  通过Google API Cloud上托管的MSI文件分发的Lampion木马。

葡萄牙政府模板/ COVID-19

此外,还使用MSI文件来感染受害者(Formulario_emergencial_gov.msi)。在这种情况下,恶意文件是从AWS S3存储桶下载的。这 两种恶意MSI文件的  操作方式相同,并在下面进行说明。我们生活在一个时代,骗子每天利用大流行的情况发动新一轮的网络钓鱼和恶意软件浪潮。

图4:  从AWS S3存储桶下载的恶意MSI文件,并使用冒充葡萄牙政府的COVID-19主题。

Lampion 2020年5  –  犯罪手法

根据该银行木马在2019年12月第一次亮相时, 作案手法  仍然是记录  在这里。随着时间的流逝,仅恶意软件的分发方式已更改。

如图2所示,这是Lampion的经典形式。它与其他文件一起构成VBS文件,包括图像和PDF文件,以吸引受害者。

尽管如此,图3和图4显示了Lampion如何传播的另一种方式。骗子正在使用一个MSI文件,其中包含VBS文件(第一阶段),该文件被执行以感染受害者的设备。另外,VBS文件更难以理解,与初始样本相比,它有点模糊。简而言之,与2019年12月相比,这些是这些新鲜样品中观察到的唯一变化。

分析图4中的MSI文件,它构成了葡萄牙政府发送的文件,以帮助进行COVID-19战斗。

MSI文件内部有VBS文件(Lampion –第一阶段),执行MSI文件时,该文件安装在“ C:\ Programs文件(x86)\ Firefox_2020-* \ Firefox_2020- * ”上。

图5:  内部包含VBS文件(第一阶段)的Lampion MSI文件。

图6:  MSI文件安装将VBS文件(第一阶段)放入C:\ Programs Files(x86)文件夹中。

图7:  VBS文件(第一阶段)可用并从C:\ Programs Files(x86)文件夹执行。

从这一点来看,恶意软件过程 与2019年12月的文档记录相同。但是,VBS文件现在变得更难了,有了新的模糊处理回合(请参见下面的图8)。

图8:  代码片段– VBS样本之间的混淆差异;2019年12月和2020年5月。

下一步是通过在受感染设备上执行VBS文件来下载的。为了对URL进行解码,我们使用此处提供的代码段  。

分析的样本(第二阶段)是从Google Cloud下载的,而不是从AWS S3存储桶下载的;如在2019年12月至2020年2月之间观察到的那样。 cYe / Z + kYbOeEiufz%O&I $ pp -_,fA’hxxps://storage.googleapis。] com / team-modulosp / 0。] zipzH $ ^ Uj [jHf2ir0 [%u%YiEj’elhKW @] s [` $ 5] 0e6e:]`bB [<WLf7_Gi * $ FYZe + cp%ojP [‘W; co#lcLeIZ] krb’eTimf(%PF =#Z’c(h#:/ ^ $} Z〜bZbjHhxxps:// storage.googleapis。] com / team-modulosp / P-12-9。] dll –示例葡萄牙政府模板/ VODAFONE组模板–hxxps://storage.googleapis。] com / team-modulo / 0。] ziphxxps:/ /storage.googleapis.]com/team-modulosp/P-1-20.]dll

在上面共享的样本中,恶意软件的代码和行为是相同的,但是,犯罪分子在每个样本中引入了“大量垃圾”,以绕过AV签名。

为了证实这一点,可以检查以下PE文件的大小。

图9:  2020年5月在葡萄牙分发的两个样本的大小。

这两个文件都是可执行文件,但文件大小有所不同。如前所述,PE文件中放置了很多垃圾,从而增加了文件的熵并绕过了AV签名。

图10显示了二进制文件中包含的图像资源。详细地说,总共52.5MB(63.3MB)仅填充12张图像,包括大约27 MB的BPM图像文件。


图10:  恶意软件中的图像资源会增加文件大小。

就像其他来自巴西的特洛伊木马程序中注意到的那样  ,它也是使用Embarcaredo IDE在Delphi中编码的,以生成可执行文件。此外,用于构建这些示例的IDE版本与用于构建2019年12月的示例的IDE版本相同。

图11:  2019年12月使用的Embarcadero Delphi版本也在2020年5月出现。该指标显示了在分析特洛伊木马时观察到的内容: 仅作了一些小改动,例如:更改了C2服务器的地址。URL本身已编码将与受害者有关的信息发送给C2的名称相同,例如:“ PostaEstaBosta.php ”。在本出版物的末尾提供了更多IOC和C2。有关此恶意软件的更多详细信息,请参见此处的初始出版物 。

Lampion上的其他屏幕和IOC – 2020年5月样本

安装后,木马可以被骗子用来在受害者的设备上启动覆盖窗口。模板的使用和受影响的组织数量巨大,包括下面介绍的巴西和葡萄牙银行。

图12:  用于创建覆盖窗口的消息,并在受害者访问目标银行门户时触发。

该恶意软件是“睡觉”和“简历”的时候,下面的银行门户网站是由受害者访问(包括比特币的门户网站).aplicativo bradescobanco bradescomercado bitcoinbanking bnbbanco montepiomontepiomillenniumbcpSantanderBPI NetBanco BPIBPICaixadirectaCaixadirecta EmpresasCGDNOVOBANCOEuroBicCréditoAgrícolaLoginPageCA EmpresasBankinternavegador exclusivoTravaBBBanco其操作 BrasilCaixa EconomicaBANRITRAVARMercado BitcoinTravaBitcoBanco OriginalCitibankitauaplicativo.exe

当恶意软件正在运行时,  重叠窗口是不可见的,  而在访问特定银行门户时会触发重叠窗口

图13:  恶意软件执行期间看不见的重叠窗口-处于休眠状态。

骗子还可以使用Lampion特洛伊木马来远程手动启动特定页面。

图14:  特洛伊木马功能,用于手动触发覆盖窗口。

接下来,当访问特定的银行门户时,将显示覆盖窗口(上面的图13),并将数据发送到C2服务器。

图14:  访问特定银行门户时触发的覆盖窗口。

接下来,有关发送到C2服务器的受感染计算机的一些详细信息,包括计算机名称,SO,AV等。

图15:Detais发送到C2服务器。

图16:  位于日本的Lampion C2认证门户。

最后的想法

如今,恶意软件已成为破坏企业,提升市场声誉甚至感染大量用户的主要网络武器之一。下一个列表提供了有关如何防止恶意软件感染的一些提示。它不是一个完整的列表,只是保护自己和设备的几个步骤。

  • 获取系统的过时软件
  • 精通电子邮件;花几分钟时间查看新电子邮件,而不是几秒钟
  • 提防虚假技术支持,与电子邮件相关的银行交易,发票,COVID19,您认为很奇怪的一切
  • 保持互联网活动的相关性
  • 在一天结束时注销
  • 仅访问受保护和受信任的网站(不仅带有绿色锁定的网站-请您以为您在做,因为许多网络钓鱼活动正在滥用免费CA来创建有效的HTTPS证书并在其上分发恶意活动)
  • 保持操作系统最新
  • 确保您正在使用antivírus
  • 当心恶意

最后但并非最不重要的一点是,不要从不受信任的位置执行文件和内容。

 

*编译:Domino

*来自:securityaffairs