LightBot
LightBot est un nouvel outil malveillant observé dans le cadre de l'arsenal du tristement célèbre hacker TrickBot. Cette dernière création de malware a remplacé le logiciel malveillant BazarLoader en tant que charge utile transmise via une campagne de phishing par e-mail.
Les pirates ont conçu les e-mails de phishing pour qu'ils apparaissent comme s'ils étaient envoyés par un service des ressources humaines ou un représentant légal. Le faux prétexte est que l'utilisateur ciblé a vu son emploi résilié ou qu'un client a déposé une plainte contre lui. L'e-mail invite ensuite le destinataire à cliquer sur un lien menant à une page Google Docs. Les utilisateurs sont informés que la prévisualisation du document hébergé a été désactivée et devra le télécharger. Cependant, au lieu du fichier 'document.doc' attendu, un fichier JavaScript qui lance le script LightBot PowerShell est déposé sur l'ordinateur.
L'analyse de LightBot révèle qu'il s'agit d'un infostealer rationalisé conçu pour aider les pirates de TrickBot à sélectionner toutes les cibles de grande valeur présentes sur le réseau déjà compromis. Élever leurs critères pour ce qui est considéré comme une cible digne permet aux cybercriminels de ne sélectionner que quelques entités qui seront infectées par le Ryuk Ransomware ou une autre menace puissante de ransomware.
Lors de l'exécution, LightBot initie le contact avec ses serveurs de commande et de contrôle (C2, C&C) et continue à établir des connexions répétées en attendant que des scripts PowerShell supplémentaires soient transmis. Les scripts livrés à partir de l'infrastructure C2 contenant différents paramètres qui déterminent les données que les hackers souhaitent recevoir de l'outil de reconnaissance LightBot. Les détails récoltés par la menace peuvent inclure des informations sur le matériel, l'ordinateur et le nom d'utilisateur, la version de Windows, l'adresse IP, les contrôleurs de domaine Windows, le domaine DNS, la liste des programmes installés et la carte réseau utilisée.
LightBot crée également deux fichiers dans le dossier ' % Temp% '. L'un est une chaîne encodée en base64, tandis que l'autre script PowerShell est chargé de décoder et d'exécuter la chaîne base64. On pense qu'il s'agit d'un mécanisme de persistance établi par LightBot en raison de la tâche planifiée créée pour lancer le script PowerShell tous les jours à 7 heures du matin.
La sortie d'un tout nouvel outil de reconnaissance par le gang TrickBot démontre leur résilience et leur adaptabilité car elle intervient peu de temps après que leurs opérations aient été fortement impactées par une attaque coordonnée menée par plusieurs départements de cybersécurité de sociétés infosec, dont Microsoft.