LightBot

LightBot is een nieuwe malwaretool die wordt waargenomen als onderdeel van het arsenaal van de beruchte TrickBot-hacker. Deze nieuwste malwarecreatie heeft de plaats ingenomen van de BazarLoader Malware omdat de payload wordt geleverd via een phishing-e-mailcampagne.

De hackers hebben de phishing-e-mails zo ontworpen dat het lijkt alsof ze worden verzonden door een HR-afdeling of een wettelijke vertegenwoordiger. Het neppe voorwendsel is dat de beoogde gebruiker zijn dienstverband heeft gekregen of dat een klant een klacht tegen hem heeft ingediend. De e-mail spoort de ontvanger vervolgens aan om op een link te klikken die naar een Google Documenten-pagina leidt. Gebruikers krijgen te horen dat het bekijken van het document dat daar wordt gehost, is uitgeschakeld en dat ze het moeten downloaden. In plaats van het verwachte 'document.doc'-bestand wordt echter een JavaScript-bestand dat het LightBot PowerShell-script start op de computer neergezet.

Analyse van LightBot onthult dat het een gestroomlijnde infostealer is die is ontworpen om TrickBot- hackers te helpen bij het uitkiezen van waardevolle doelen op het reeds gecompromitteerde netwerk. Door hun criteria te verhogen voor wat wordt beschouwd als een waardig doelwit, kunnen de cybercriminelen slechts een paar entiteiten uitkiezen die zullen worden geïnfecteerd met de Ryuk Ransomware of een andere krachtige ransomware-bedreiging.

Bij uitvoering initieert LightBot contact met zijn Command-and-Control (C2, C&C) servers en blijft het herhaaldelijk verbindingen maken terwijl het wacht op het verzenden van aanvullende PowerShell-scripts. De scripts die worden geleverd vanuit de C2-infrastructuur bevatten verschillende parameters die bepalen welke gegevens de hackers willen ontvangen van de LightBot-verkenningstool. De details die door de dreiging worden verzameld, kunnen hardware-informatie, computer- en gebruikersnaam, Windows-versie, IP-adres, Windows-domeincontrollers, DNS-domein, lijst met geïnstalleerde programma's en de netwerkkaart die wordt gebruikt, omvatten.

LightBot maakt ook twee bestanden aan in de map ' % Temp% '. De ene is een met base64 gecodeerde reeks, terwijl het andere PowerShell-script de taak heeft om de base64-reeks te decoderen en uit te voeren. Aangenomen wordt dat dit een persistentiemechanisme is dat door LightBot is ingesteld vanwege de geplande taak die is gemaakt om het PowerShell-script elke dag om 7 uur 's ochtends te starten.

De release van een gloednieuw verkenningshulpmiddel door de TrickBot-bende toont hun veerkracht en aanpassingsvermogen aan, aangezien het snel komt nadat hun operaties zwaar werden beïnvloed door een gecoördineerde aanval uitgevoerd door verschillende cyberbeveiligingsafdelingen van Infosec-bedrijven, waaronder Microsoft.

Trending

Meest bekeken

Bezig met laden...