Lampion
Lampion es el nombre de un troyano bancario que se utiliza actualmente para apuntar a usuarios en Portugal. La amenaza se distribuye a través de correos electrónicos de phishing que afirman provenir del gobierno portugués, y a menudo utilizan temas relacionados con el pago de deudas e impuestos, temas que probablemente atraigan el interés del usuario y lo atraigan a revisar el contenido del correo electrónico. Lo común entre todos estos mensajes de phishing es que instan a las víctimas a descargar un archivo adjunto 'ZIP' que contiene tres archivos: un archivo VBS, un documento y un archivo de texto. Al ejecutar el archivo VBS, el script se conectará a un servidor alojado en Amazon y obtendrá la carga útil del troyano Lampion en forma de un archivo 'DLL'.
Parece que los autores del Lampion Trojan se han centrado en implementar características cuyo objetivo es hacer que sea muy difícil analizar la amenaza: sobresale en evitar entornos de sandbox y gracias a las medidas necesarias para detener su ejecución en caso de que detecte la presencia de populares herramientas de depuración de malware. Si no hay nada que obstaculice la ejecución del troyano Lampion, agregará una nueva clave de registro de Windows para ordenar al sistema operativo que inicie el programa amenazante cada vez que la computadora se inicie.
El troyano bancario Lampion puede recuperar información sobre la actividad del usuario mientras navega por la Web, y puede manipular su conexión para llevarlos a los sitios web seleccionados por el atacante; de esta manera, la víctima puede ser redirigida sin problemas a una página de phishing cuando está tratando de navegar por un portal bancario en línea legítimo. Por último, pero no menos importante, los operadores del troyano Lampion pueden generar cuadros de diálogo, lo que les permite evitar los sistemas de autenticación de dos factores y otras medidas de seguridad que utilizan los portales bancarios.
No está claro si el troyano Lampion es el producto de una organización popular de cibercrimen, pero los investigadores de ciberseguridad esperan ver la amenaza en otras campañas en el futuro. Si bien el ataque actual se centra exclusivamente en los usuarios portugueses, es probable que esto cambie pronto. Para proteger su sistema del troyano bancario Lampion y otras amenazas cibernéticas de alto perfil, debe invertir en un producto de seguridad cibernética de buena reputación.
