Güvenlik araştırmacıları tarafından, Lampion adında yeni bir truva atı keşfedildi. Truva atı, Delphi dilinde geliştirilmiş olup Trojan-Banker.Win32.ChePro zararlı ailesine benzetilmektedir. Hem sandbox ortamında hem de manuel olarak analizinin zorlaştırılması için anti-debug ve anti-VM teknikleri kullanılarak oluşturulmuştur. Truva atı, uzaktan bağlantı başlatma, ağ kaynaklarını tespit etme, ağ kaynaklarını manipüle etme ve yönlendirme, dosya yolunu elde etme, iletişim parametrelerinde değişiklikler oluşturma gibi özel işlevler barındıran özelliklere sahiptir. Ayrıca kullanıcılara ait verilerin ele geçirilmesinde de önemli rol oynamaktadır.
Keşfedilen truva atı’nın Portekizli kullanıcıları hedeflediği tespit edilmiştir. Truva atı, Portekiz Hükümeti Finans ve Vergi kurumundan gelen bir mail gibi görünen, phishing (oltalama) mailleri ile dağıtılmaktadır. Mail içeriğinde ise, 2018 yılına ait borçlarla ilgili sorunlar bildirilmektedir. Daha sonra kullanıcının tıklaması için bir bağlantı linki bırakılmıştır. Kullanıcı bağlantıya tıkladığında kötü amaçlı yazılım çevrimiçi bir sunucudan indirilir. İndirilen dosya, “FacturaNovembro 4492154-2019-10_8.zip” adlı sıkıştırılmış bir dosyadır. Kullanıcının sıkıştırılmış dosyayı açması halinde PDF, VBS ve metin belgesi olmak üzere 3 adet dosyayı görecektir. Üç dosyadan biri olan VBScript dosyası çalıştırıldığında, P10-2.dll ve 0.zip adında iki dosya indirilir. P-19.2.dll dosyası, bir PE (Portable Executable) dosyası olup Lampion truva atı’nın kendisidir. Bu dll içerisinde, Portekizli kullanıcılar için bir mesaj ve Çince yazılan bir isim tespit edilmiştir.
Sedat KIZILÇINAR
