LightBot

O LightBot é uma nova ferramenta de malware observada como parte do arsenal do infame hacker TrickBot. Esta mais nova criação de malware tomou o lugar do BazarLoader Malware como a carga útil sendo entregue por meio de uma campanha de e-mail de phishing.

Os hackers projetaram os e-mails de phishing para parecerem estar sendo enviados por um departamento de RH ou representante legal. A falsa pretensão é que o usuário-alvo teve seu contrato de trabalho rescindido ou que um cliente entrou com uma reclamação contra ele. O e-mail então pede ao destinatário que clique em um link que leva a uma página do Google Docs. Os usuários são informados de que a visualização do documento hospedado lá foi desativada e será necessário baixá-lo. No entanto, em vez do arquivo 'document.doc' esperado, um arquivo JavaScript que inicia o script LightBot PowerShell é descartado no computador.

A análise do LightBot revela que ele  é um infostealer simplificado, projetado para ajudar os hackers do TrickBot a escolher qualquer alvo de alto valor presente na rede já comprometida. Elevar seus critérios para o que é considerado um alvo digno permite que os cibercriminosos escolham a dedo apenas algumas entidades que serão infectadas com o Ryuk Ransomware ou outra ameaça potente de ransomware.

Após a execução, o LightBot inicia o contato com seus servidores Command-and-Control (C2, C&C) e continua a fazer conexões repetidas enquanto aguarda a transmissão de scripts adicionais do PowerShell. Os scripts fornecidos pela infraestrutura C2 contêm diferentes parâmetros que determinam quais dados os hackers desejam receber da ferramenta de reconhecimento LightBot. Os detalhes coletados pela ameaça podem incluir informações de hardware, computador e nome de usuário, versão do Windows, endereço IP, controladores de domínio do Windows, domínio DNS, lista de programas instalados e a placa de rede em uso.

O LightBot também cria dois arquivos na pasta ' % Temp% '. Um deles é uma string codificada em base64, enquanto o outro script do PowerShell tem a tarefa de decodificar e executar a string base64. Acredita-se que este seja um mecanismo de persistência estabelecido pelo LightBot devido à tarefa agendada que é criada para iniciar o script do PowerShell todos os dias às 7h.

O lançamento de uma nova ferramenta de reconhecimento pela gangue TrickBot demonstra sua resiliência e adaptabilidade, pois ocorre logo após suas operações terem sido fortemente impactadas por um ataque coordenado realizado por vários departamentos de segurança cibernética de empresas de infosec, incluindo a Microsoft.

Tendendo

Mais visto

Carregando...