LightBot
LightBot ist ein neues Malware-Tool, das als Teil des Arsenals des berüchtigten TrickBot-Hackers beobachtet wird. Diese neueste Malware-Erstellung hat die BazarLoader-Malware als Nutzlast ersetzt, die über eine Phishing-E-Mail-Kampagne bereitgestellt wird.
Die Hacker haben die Phishing-E-Mails so gestaltet, als würden sie von einer Personalabteilung oder einem gesetzlichen Vertreter gesendet. Der falsche Vorwand ist, dass der Zielbenutzer sein Arbeitsverhältnis beendet hat oder dass ein Kunde eine Beschwerde gegen ihn eingereicht hat. In der E-Mail wird der Empfänger aufgefordert, auf einen Link zu klicken, der zu einer Google Text & Tabellen-Seite führt. Benutzern wird mitgeteilt, dass die Vorschau des dort gehosteten Dokuments deaktiviert wurde und heruntergeladen werden muss. Anstelle der erwarteten Datei 'document.doc' wird jedoch eine JavaScript-Datei, die das LightBot PowerShell-Skript startet, auf dem Computer abgelegt.
Die Analyse von LightBot zeigt, dass es sich um einen optimierten Infostealer handelt, der TrickBot- Hackern dabei helfen soll, alle im bereits gefährdeten Netzwerk vorhandenen hochwertigen Ziele auszuwählen. Durch die Erhöhung ihrer Kriterien für ein als würdig erachtetes Ziel können die Cyberkriminellen nur einige Entitäten auswählen, die mit der Ryuk Ransomware oder einer anderen potenziellen Ransomware-Bedrohung infiziert sind.
Bei der Ausführung initiiert LightBot den Kontakt mit seinen Command-and-Control-Servern (C2, C & C) und stellt weiterhin wiederholte Verbindungen her, während es auf die Übertragung zusätzlicher PowerShell-Skripts wartet. Die von der C2-Infrastruktur gelieferten Skripte enthalten verschiedene Parameter, die bestimmen, welche Daten die Hacker vom LightBot-Aufklärungstool erhalten möchten. Zu den von der Bedrohung erfassten Details gehören Hardwareinformationen, Computer- und Benutzername, Windows-Version, IP-Adresse, Windows-Domänencontroller, DNS-Domäne, Liste der installierten Programme und die verwendete Netzwerkkarte.
LightBot erstellt außerdem zwei Dateien im Ordner ' % Temp% '. Eine ist eine Base64-codierte Zeichenfolge, während das andere PowerShell-Skript mit der Dekodierung und Ausführung der Base64-Zeichenfolge beauftragt ist. Es wird angenommen, dass dies ein Persistenzmechanismus ist, der von LightBot aufgrund der geplanten Aufgabe eingerichtet wurde, die erstellt wird, um das PowerShell-Skript jeden Tag um 7 Uhr morgens zu starten.
Die Veröffentlichung eines brandneuen Aufklärungstools durch die TrickBot-Bande zeigt ihre Widerstandsfähigkeit und Anpassungsfähigkeit, da es kommt kurz nachdem ihre Operationen durch einen koordinierten Angriff mehrerer Cybersicherheitsabteilungen von Infosec-Unternehmen, einschließlich Microsoft, stark beeinträchtigt wurden.
