Бразильская хакерская группа обновляет банковский троянец Lampion, используя фишинговые атаки через компрометированные почтовые ящики

Исследователи кибербезопасности раскрыли детали продолжающейся более года масштабной спам-кампании, проводимой бразильской группировкой, связанной с банковским троянцем Lampion. Атака претерпела значительные изменения: злоумышленники перешли от рассылки ссылок к использованию вложений в письмах, начали активно применять компрометированные корпоративные и личные почтовые ящики для рассылки, а также внедрили новую социальную инженерию под названием ClickFix для первоначального заражения. Финальная полезная нагрузка - стилер (программа для кражи данных) Lampion - также была существенно модифицирована и теперь представляет собой единый файл гигантского размера, что затрудняет его анализ.

Описание

Кампания, активная как минимум с 2019 года, нацелена в основном на пользователей португальского языка, а ее главной целью остается кража учетных данных для банковских систем. По данным телеметрии, количество новых заражений исчисляется десятками в день, а общее число активных инфекций достигает сотен. В ходе расследования был выявлен многоэтапный механизм заражения, который постоянно эволюционирует.

Одним из ключевых изменений, отмеченных с сентября 2024 года, стал переход на использование вложенных ZIP-архивов в фишинговых письмах вместо ссылок на них. Эти архивы содержат HTML-файл, который, в свою очередь, перенаправляет жертву на загрузку второго ZIP-архива с начальным зловредным скриптом. Позже, в декабре 2024 года, группа внедрила технику ClickFix. Данный метод социальной инженерии заключается в том, что жертве показывается поддельное сообщение, побуждающее ее вставить и выполнить вредоносную команду непосредственно в диалоговом окне «Выполнить» в Windows. Это позволяет злоумышленникам загрузить и запустить первый скрипт, минуя необходимость загрузки дополнительных архивов.

Цепочка заражения состоит из нескольких этапов, реализованных на основе обфусцированных скриптов Visual Basic (VBS). Первая стадия, помимо своей основной задачи по загрузке следующего компонента, теперь получила механизм персистентности (устойчивости), прописываясь в папку автозагрузки Windows. Это усложняет очистку системы от вредоноса. Вторая и третья стадии отвечают за коммуникацию с сервером управления и контролем (C2), загрузку финальной полезной нагрузки и сбор базовой телеметрии о системе жертвы.

Финальным звеном цепочки является обновленный стилер Lampion. В отличие от ранее описанных версий, которые состояли из нескольких файлов, теперь это единственная библиотека DLL, чей размер искусственно раздут до рекордных 700 мегабайт. Этот прием, известный как «раздувание» (bloating), используется для противодействия автоматическому анализу, так как многие сервисы и средства защиты имеют ограничение на размер загружаемых файлов. Файл защищен упаковщиком VMProtect и содержит зашифрованные ZIP-архивы в своих ресурсах. Среди новых функций стилера исследователи обнаружили скрипт, который постоянно проверяет и принудительно завершает работу популярных браузеров, таких как Chrome, Firefox и Edge, что, вероятно, делается для вмешательства в банковские операции или кражи активных сессий.

Инфраструктура злоумышленников демонстрирует высокий уровень технической подготовки и гибкости. Она распределена по нескольким компонентам, каждый из которых использует различные облачные сервисы и хостеры. Для размещения фишинговых страниц ClickFix используются пять различных веб-хостингов. Стадии загрузки скриптов VBS размещены на множестве виртуальных приватных серверов (VPS) и в облачных хранилищах. Критически важной особенностью всей инфраструктуры является наличие механизмов черного списка IP-адресов, которые разрывают цепочку заражения при обращении с IP-адресов исследователей или систем безопасности, что значительно затрудняет анализ угрозы.

Использование компрометированных учетных записей для рассылки фишинговых писем повышает доверие к атаке со стороны жертв, так как письма приходят с реальных, а не поддельных адресов. Тематика писем остается актуальной для целевой аудитории и вращается вокруг банковских переводов, налоговых документов и электронных чеков. Постоянные обновления тактик, многоступенчатая цепочка заражения и сложная инфраструктура свидетельствуют о серьезных усилиях бразильской группировки по сохранению скрытности и устойчивости своих операций. Специалисты по безопасности рекомендуют проявлять повышенную бдительность к письмам с вложениями, даже приходящим с известных адресов, и избегать выполнения непроверенных инструкций, предлагаемых веб-страницами или письмами.