Nuevo troyano bancario “Lampion” amenaza a ciudadanos de Portugal

Investigadores de SI-LAB, han evidenciado que durante los últimos días de diciembre ciudadanos de Portugal se vieron afectados por una campaña de phishing que buscaba instalar una carga maliciosa capaz de exfiltrar información desde sus computadores hacia un Centro de Mando y Control. Este malware tipo troyano, ha sido denominado “Lampion”.

La campaña engaña a sus víctimas suplantando la identidad del Departamento de Impuestos y Finanzas del Gobierno de Portugal utilizando archivos comprimidos adjuntos que descargan y ejecutan el malware. Una vez que la víctima ejecute el archivo .zip llamado “FacturaNovembro-4492154-2019-10_8.zip”, extraerá otros 3 archivos: un .PDF, un .VBS y un .TXT los cuales efectúan la comunicación para descargar la carga maliciosa, comprometiendo el terminal y estableciendo una comunicación directa hacia el Centro de Mando y Control de los atacantes.

Lo crítico de esta campaña reside en que aún son pocos los motores de antivirus capaces de detectar esta amenaza, ya que cuenta con códigos anti sandbox y anti-vm. Por otra parte se puede evidenciar que la carga maliciosa posee un mensaje escrito en chino mandarín dirigido a Portugal: “Your group of Portuguese suckers”.

Se estima que es una campaña dirigida, proveniente de China y se prevé que podría llegar al cono Sudamericano durante el mes de enero utilizando estas mismas piezas de código malicioso por lo que recomendamos estar atento a cualquier solicitud de entes gubernamentales o institucionales respecto a pago de deudas, facturas o informaciones financieras.

Se recomienda lo siguiente:

• Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
• Evitar instalar programas de sitios que no sean oficiales.
• Revisar los controles de seguridad de los AntiSpam y SandBoxing.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correoelectrónico o documento lo solicita.
• Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
• Aprender a detectar correos electrónicos sospechosos que utilizan nombres deempresas reales y adoptan su imagen.
• Tener activado el UAC (control de cuentas de usuario) de Windows.