Investigadores de SI-LAB, han evidenciado que durante los últimos días de diciembre ciudadanos de Portugal se vieron afectados por una campaña de phishing que buscaba instalar una carga maliciosa capaz de exfiltrar información desde sus computadores hacia un Centro de Mando y Control. Este malware tipo troyano, ha sido denominado “Lampion”.
La campaña engaña a sus víctimas suplantando la identidad del Departamento de Impuestos y Finanzas del Gobierno de Portugal utilizando archivos comprimidos adjuntos que descargan y ejecutan el malware. Una vez que la víctima ejecute el archivo .zip llamado “FacturaNovembro-4492154-2019-10_8.zip”, extraerá otros 3 archivos: un .PDF, un .VBS y un .TXT los cuales efectúan la comunicación para descargar la carga maliciosa, comprometiendo el terminal y estableciendo una comunicación directa hacia el Centro de Mando y Control de los atacantes.
Lo crítico de esta campaña reside en que aún son pocos los motores de antivirus capaces de detectar esta amenaza, ya que cuenta con códigos anti sandbox y anti-vm. Por otra parte se puede evidenciar que la carga maliciosa posee un mensaje escrito en chino mandarín dirigido a Portugal: “Your group of Portuguese suckers”.
Se estima que es una campaña dirigida, proveniente de China y se prevé que podría llegar al cono Sudamericano durante el mes de enero utilizando estas mismas piezas de código malicioso por lo que recomendamos estar atento a cualquier solicitud de entes gubernamentales o institucionales respecto a pago de deudas, facturas o informaciones financieras.
Se recomienda lo siguiente:
Producto | Versión |
---|---|
Windows |
7 8 8.1 10 |