
Ilustrasi
Ilustrasi
Cyberthreat.id - Peneliti keamanan telah menemukan Trojan baru bernama Lampion. Trojan ini didistribusikan melalui email Phising dan menargetkan pengguna Portugis.
Seperti dilansir Segurance Informatica-Lab (SI-Lab), email Phishing yang digunakan untuk mendistribusikan Trojan yang seolah-olah berasal dari lembaga Keuangan dan Pajak Pemerintah Portugis. Email tersebut melaporkan masalah terkait utang sepanjang tahun 2018.
Trojan ini meminta penerima untuk mengklik tautan di dalam email guna menghindari disesatkan oleh penjahat. Ketika korban yang tidak sadar mengklik tautan yang tersedia di dalam email, Malware langsung terdownload dari server online.
File yang diunduh adalah file Zip terkompresi yang disebut ‘FacturaNovembro-4492154-2019-10_8.zip'. Ketika dibongkar oleh pengguna, mereka akan melihat tiga file yakni; file PDF, VBS, dan file teks.
Tentang apa file itu?
1. File 'FacturaNovembro-4492154-2019-10_8.zip' adalah tahap pertama dari rantai infeksi Lampion. Ini adalah file VBScript yang bertindak sebagai dropper dan pengunduh.
2. Dropper mengunduh tahap berikutnya dari server yang dikompromikan yang tersedia di internet pada bucket AWS S3.
3. Setelah file VBScript dieksekusi, dua file - P-19-2.dll dan 0.zip - diunduh. File P-19-2.dll adalah file PE yang dieksekusi selama eksekusi VBScript ketika komputer yang terpengaruh dimulai. File P-19-2 dan kawan-kawan ini sebenarnya adalah Trojan Lampion.
4. DLL ini berisi nama dalam bahasa China dengan pesan yang ditargetkan untuk pengguna Portugis.
Apa itu Lampion?
1. Lampion terlihat seperti bentuk improvisasi dari keluarga Trojan-Banker.Win32.ChePro.
2. Trojan ini dikembangkan dalam bahasa pemrograman Delphi.
3. Ini mencakup teknik anti-debug dan anti-VM untuk menyulitkan keduanya di lingkungan kotak pasir (sandbox) atau secara manual.
Beberapa fitur yang merupakan bagian dari sampel Lampion yang berhasil diamati adalah:
1. Startup Koneksi Jarak Jauh
2. Pengambilan Sumber Daya Jaringan
3. Manipulasi dan Pengalihan Sumber Daya Jaringan
4. Pengambilan Jalur Folder
5. Komunikasi Pesan
6. Perubahan Parameter Komunikasi
7. Fungsi 'Custom'
8. Kotak Dialog Pemijahan
9. Penyimpanan Logika Kode (code logic)
Lampion Trojan terlibat dalam pengambilan data milik pengguna dan sistem yang terinfeksi. Informasi yang dikumpulkan termasuk halaman informasi sistem, perangkat lunak yang diinstal, riwayat browser web, clipboard, detail sistem file dan lain-lain.
Trojan juga memungkinkan peretas untuk mengakses dan memanipulasi mesin yang terinfeksi melalui web interface yang dirancang khusus.
Share: