LightBot

LightBot er et nyt malware-værktøj, der observeres som en del af arsenalet til den berygtede TrickBot-hacker. Denne nyeste oprettelse af malware har taget pladsen for BazarLoader Malware, da nyttelasten leveres gennem en phishing-e-mail-kampagne.

Hackerne designet phishing-e-mails til at se ud som om de sendes af en HR-afdeling eller en juridisk repræsentant. Den falske foregivelse er, at den målrettede bruger har fået deres ansættelse ophørt, eller at en kunde har indgivet en klage over dem. E-mailen opfordrer derefter modtageren til at klikke på et link, der fører til en Google Docs-side. Brugere får at vide, at forhåndsvisning af det dokument, der er hostet der, er deaktiveret og bliver nødt til at downloade det. I stedet for den forventede 'document.doc' -fil falder en JavaScript-fil, der starter LightBot PowerShell-scriptet, dog på computeren.

Analyse af LightBot afslører, at det er en strømlinet infostealer designet til at hjælpe TrickBot- hackere med at udvælge eventuelle højværdimål, der findes på det allerede kompromitterede netværk. At hæve deres kriterier for, hvad der betragtes som et værdigt mål, giver cyberkriminelle kun mulighed for at håndplukke et par enheder, der vil blive inficeret med Ryuk Ransomware eller anden potent ransomware-trussel.

Efter udførelse indleder LightBot kontakt med sine Command-and-Control (C2, C&C) servere og fortsætter med at oprette gentagne forbindelser, mens den venter på, at yderligere PowerShell-scripts sendes. Scriptsne leveret fra C2-infrastrukturen, der indeholder forskellige parametre, der bestemmer, hvilke data hackerne ønsker at modtage fra LightBot-rekognoseringsværktøjet. Detaljerne høstet af truslen kan omfatte hardwareoplysninger, computer- og brugernavn, Windows-version, IP-adresse, Windows-domænecontrollere, DNS-domæne, liste over installerede programmer og det netværkskort, der bruges.

LightBot opretter også to filer i mappen ' % Temp% '. Den ene er en base64-kodet streng, mens den anden PowerShell-script har til opgave at afkode og udføre base64-strengen. Det menes, at dette er en vedholdenhedsmekanisme, der er oprettet af LightBot på grund af den planlagte opgave, der oprettes for at starte PowerShell-scriptet hver dag kl.

Udgivelsen af et helt nyt rekognoseringsværktøj fra TrickBot-banden demonstrerer deres modstandsdygtighed og tilpasningsevne, da det kommer kort efter, at deres operationer blev stærkt påvirket af et koordineret angreb udført af flere infosec-virksomheder cybersikkerhedsafdelinger, herunder Microsoft.

Trending

Mest sete

Indlæser...