研究人员发现一场利用Lampion银行木马的复杂攻击活动。该恶意软件自2019年起活跃,目前重新聚焦于葡萄牙金融机构。
幕后威胁 actor 团伙显著改进了攻击战术,引入新型社会工程技术,使传统检测手段愈发难以识别。
此最新攻击变种的独特之处在于整合了ClickFix诱饵——一种欺骗用户在执行恶意载荷前“修复技术问题”的欺诈手段。
感染链:从钓鱼邮件到ClickFix诱饵
感染始于精心构造的仿冒银行转账通知的钓鱼邮件。
威胁 actor 使用被盗邮箱账户分发邮件,使其具备普通检查难以识破的真实性。
邮件包含ZIP文件附件而非直接链接——这一战术转变于2024年9月中旬实施,体现了团伙为绕过安全控制的适应性策略。
Bitsight分析师将攻击活动的演变划分为三个阶段,其中最显著的变化发生在2024年12月中旬,当时ClickFix社会工程学被引入攻击链。
研究人员记录到,该恶意软件的日活跃感染量达数十次,目前有数百台受感染系统处于攻击者控制之下。
这种规模反映了攻击活动的有效性和团伙的运营成熟度。感染链呈现多阶段架构,旨在每一步规避检测。
受害者下载伪装标签的附件后,会看到看似合法的Windows错误通知(包含熟悉的UI元素)。
此ClickFix诱饵诱导用户点击链接以“修复问题”,实则启动恶意软件交付流程——在用户产生虚假安全感的同时,感染过程在后台悄然展开。
支持该攻击活动的技术基础设施展现了极高的运营安全专业性。
感染链通过混淆的Visual Basic脚本推进,每阶段进一步隐藏恶意意图,最终加载包含窃取功能的DLL载荷。
值得注意的是,2025年6月左右,第一阶段新增了持久化机制,使恶意软件能够在系统重启后存活并维持跨会话访问。
威胁 actor 利用跨多个云服务商的地理分布式基础设施,有效隔离其操作。
基础设施内置的IP黑名单功能阻止安全研究人员追踪完整感染链,同时允许攻击者精细化控制向特定受害者分发特定载荷。
Bitsight研究人员指出,每个感染阶段存在数百个独特样本,表明其采用自动化生成技术。这意味着团伙具备足够技术能力在攻击周期中高效扩展操作,同时维持全程运营安全。
发表评论
您还未登录,请先登录。
登录