WeTransfer usado para espalhar malware

Um grupo de cibercriminosos recorreu ao serviço de partilha de ficheiros WeTransfer para lançar um novo esquema de phishing e espalhar malware 'Lampion' através dos links do serviço de partilha de arquivos.

De acordo com a Cofense, que liderou a investigação, as vítimas recebem um email com uma notificação do WeTransfer com um aviso de partilha de ficheiro.

Nas notas adicionadas ao email, os cibercriminosos escrevem frequentemente uma nota onde revelam que o ficheiro é uma fatura que precisa de ser revista, o que acaba por chamar a atenção das vítimas para a urgência do email.

As vítimas recebem um arquivo ZIP com ficheiro Virtual Basic Script. Ao dar início à execução,  o script inicia um processo WScript que cria quatro arquivos VBS.

 Neste caso, o quarto script servirá para lançar um novo processo WScript, que se vai conectar a dois URL codificados para irem buscar dois arquivos DLL escondidos dentro de arquivos ZIP protegidos por senha. Esta senha é codificada e os arquivos acabam por ser extraídos sem que haja necessidade de interação do utilizador. 

O 'Lampion' acaba a ser executado em sistemas comprometidos. Uma vez no sistema, o malware inicia a exfiltração de dados e o direcionamento das contas bancárias.

A Cofense alerta para a ameaça ativa e furtiva do 'Lampion' e pede aos utilizadores que sejam cautelosos, principalmente quando os emails pedem para descarregar arquivos.