新的 WeTransfer 网络钓鱼攻击涉及重新出现的 Lampion 恶意软件 媒体
针对WeTransfer的新的网络钓鱼攻击
关键要点
威胁行为者利用WeTransfer发起新的网络钓鱼活动,传播Lampion恶意软件。受害者收到要求下载“付款证明”文档的邮件,实际上是一个包含VBS文件的ZIP档案。该恶意文件会启动多个脚本,最终导致数据泄露和银行账户被攻击。根据BleepingComputer的报道,威胁行为者已发起新的网络钓鱼攻击,利用文件共享服务WeTransfer进行Lampion恶意软件的传播。Cofense的研究人员发现,该活动通过钓鱼邮件诱使收件人下载一个WeTransfer的“付款证明”文档,实际上这是一个包含必要VBS文件的ZIP档案,以实施攻击。
迅猛兔机场研究人员指出,暴露出四个由VBS文件启动的WScript进程。其中前两个脚本几乎没有功能,而第三个脚本仅触发了第四个脚本。报告还显示,第四个脚本会启动新的WScript进程,该进程负责从受密码保护的ZIP文件中提取两个DLL文件。随后,Lampion恶意软件将被隐秘地执行,开始数据的外泄以及对银行账户的攻击。
脚本编号功能1空脚本,无功能2空脚本,无功能3触发第四个脚本4启动新的进程,提取DLL可以看到,这种网络钓鱼活动展现了恶意软件传播的新技巧,使用了常见的文件共享平台来掩盖其真实意图。用户在下载和打开来自未知发送者的文件时,必须保持警惕,以防泄露个人和财务信息。
