LightBot

LightBot è un nuovo strumento malware osservato come parte dell'arsenale del famigerato hacker TrickBot. Questa nuova creazione di malware ha preso il posto del malware BazarLoader come payload distribuito tramite una campagna di posta elettronica di phishing.

Gli hacker hanno progettato le e-mail di phishing in modo che sembrassero inviate da un dipartimento delle risorse umane o da un rappresentante legale. La falsa pretesa è che l'utente mirato abbia avuto la cessazione del rapporto di lavoro o che un cliente abbia presentato un reclamo contro di lui. L'e-mail quindi sollecita il destinatario a fare clic su un collegamento che porta a una pagina di Google Documenti. Agli utenti viene detto che l'anteprima del documento ospitato lì è stata disabilitata e dovranno scaricarlo. Tuttavia, invece del file "document.doc" previsto, sul computer viene rilasciato un file JavaScript che avvia lo script PowerShell di LightBot.

L'analisi di LightBot rivela che si tratta di un infostealer semplificato progettato per aiutare gli hacker di TrickBot a individuare eventuali obiettivi di alto valore presenti sulla rete già compromessa. L'elevazione dei criteri per quello che è considerato un obiettivo degno consente ai criminali informatici di selezionare solo un paio di entità che verranno infettate da Ryuk Ransomware o da altre potenti minacce ransomware.

Dopo l'esecuzione, LightBot avvia il contatto con i suoi server Command-and-Control (C2, C&C) e continua a effettuare connessioni ripetute mentre attende la trasmissione di ulteriori script di PowerShell. Gli script forniti dall'infrastruttura C2 contengono diversi parametri che determinano quali dati gli hacker desiderano ricevere dallo strumento di ricognizione LightBot. I dettagli raccolti dalla minaccia possono includere informazioni sull'hardware, computer e nome utente, versione di Windows, indirizzo IP, controller di dominio Windows, dominio DNS, elenco di programmi installati e scheda di rete utilizzata.

LightBot crea anche due file nella cartella " % Temp% ". Uno è una stringa con codifica base64, mentre l'altro script di PowerShell ha il compito di decodificare ed eseguire la stringa base64. Si ritiene che questo sia un meccanismo di persistenza stabilito da LightBot a causa dell'attività pianificata creata per avviare lo script PowerShell ogni giorno alle 7:00.

Il rilascio di un nuovissimo strumento di ricognizione da parte della banda di TrickBot dimostra la loro resilienza e adattabilità poiché arriva subito dopo che le loro operazioni sono state pesantemente influenzate da un attacco coordinato effettuato da diversi dipartimenti di sicurezza informatica delle società di infosec, tra cui Microsoft.