O novo malware de exploração do Trickbot para objetivos de alto valor

O infame TrickBot tem uma gangue que lançou uma nova ferramenta de reconhecimento leve usada para localizar a rede de uma vítima infectada em busca de alvos de alto valor.

Na semana passada, pesquisadores de segurança começaram a ver uma campanha de phishing normalmente usada para distribuir o malware BazarLoader da TrickBot para instalar um novo script malicioso do PowerShell.

Assim como as campanhas de phishing do BazarLoader, os e-mails de phishing do LightBot supostamente vêm do RH ou do departamento jurídico em relação a uma reclamação do cliente ou à rescisão do contrato de trabalho do destinatário.

Conforme visto em um e-mail do LightBot enviado para meu endereço de e-mail, eles contêm links para um documento em https://drive.google.com.

E-mail de phishing do LightBot enviado para o BleepingComputer

Quando os usuários clicarem no link incorporado, eles serão direcionados para uma página do Google Docs que diz "A visualização está desativada" e solicita que eles façam o download do arquivo.

Página de destino do Google Docs

O arquivo baixado é um arquivo JavaScript que iniciará o script LightBot PowerShell.

LightBot – Uma ferramenta de reconhecimento leve

Apelidado de LightBot pela Advanced Intel Vitali Kremez, este script do PowerShell é uma ferramenta de reconhecimento leve que reúne informações sobre a rede de uma vítima para determinar se ela é de alto valor e deve ser alvo de ataques futuros.

"New TrickBot Group "LightBot" é um script de reconhecimento do PowerShell usado pelo mesmo grupo relacionado a incidentes de violação e ransomware de alto nível envolvendo o Universal Health Service (UHS). script do criador de perfil de reconhecimento FIN7)".

“Suspeitamos que o LightBot esteja sendo usado como outro meio (além do leve BazarBackdoor oculto) para selecionar manualmente os alvos do ransomware Ryuk por meio de análise de rede/domínio, parte da cadeia de remoção de ransomware Cobalt Strike para Ryuk”, disse Kremez. . BleepingComputador em conversa.

Depois de saber e receber um e-mail de phishing contendo esse novo script, a BleepingComputer analisou a ferramenta para determinar quais informações são coletadas durante sua operação.

Quando o script LightBot PowerShell for executado, faça conexões repetidas com um servidor de comando e controle (C2) para receber scripts PowerShell adicionais para executar e enviar dados coletados durante execuções anteriores.

Fiddler mostrando conexões LightBot para C2

Os scripts enviados pelo C2 são todos iguais, mas com comandos diferentes para coletar os dados desejados dos agentes de ameaças. Por exemplo, abaixo você pode ver o script usado para coletar informações sobre o endereço IP do computador e as configurações de domínio do Windows.

Exemplo de script do PowerShell usado para coletar informações de domínio

De nossas execuções do script malicioso, o LightBot coleta os seguintes dados:

  • nome do computador
  • informações de hardware
  • Nome de usuário
  • Versão do Windows
  • Lista de controladores de domínio do Windows
  • Nome do controlador de domínio primário (PDC)
  • endereço IP configurado
  • domínio DNS
  • Tipo de placa de rede
  • Lista de programas instalados

Como parte desse processo, os scripts também criarão dois arquivos na pasta %Temp%. O primeiro é um arquivo de texto que contém uma string criptografada codificada em base64 e o segundo arquivo é um script do PowerShell que decodifica a string base64 e a executa.

Esse script do PowerShell é iniciado todos os dias às 7h por meio de uma tarefa agendada criada.

Tarefa agendada para iniciar o script

O C2 retornou um erro ao baixar o script criptografado do PowerShell, portanto, não se sabe quais ações essa tarefa agendada executa. Acredita-se ser um método de persistência.

Depois que os comandos iniciais enviados pelo C2 forem concluídos, o LightBot continuará sendo executado em segundo plano e se conectará regularmente ao C2 para novos comandos.

No mês passado, a Microsoft e outras empresas de segurança realizaram uma remoção coordenada do TrickBot, afetando suas operações. Essa evolução contínua de novas ferramentas, no entanto, mostra a adaptabilidade e resiliência do grupo de hackers.

Todos os administradores devem estar atentos às campanhas de phishing LightBot, pois o resultado final provavelmente será um ataque de ransomware Ryuk ou Conti em toda a rede.

  • O que significa "IMO" e "IMHO" e como você os usa?
  • A Semana no Ransomware – 20 de novembro de 2020

descubra mais conteúdo

O que é um amplificador integrado?

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão geek

Deixe uma resposta Cancelar resposta

Tradução em inglês – Lightbot é um videogame educacional para aprender conceitos de programação de software, desenvolvido por Danny Yaroslavski. Lightbot foi jogado 7 milhões de vezes e é altamente avaliado nas lojas iTunes e Google Play.

  • Data de lançamento inicial : 2008
  • Desenvolvedor : Lightbot Inc.
  • Plataformas : Navegador da Web, Android, Microsoft Windows, iOS, Mac OS Classic
  • Distribuidores : SpriteBox LLC, Armor Games, Lightbot Inc.
Ir arriba