LightBot
LightBot es una nueva herramienta de malware observada como parte del arsenal del infame pirata informático TrickBot. Esta nueva creación de malware ha reemplazado al BazarLoader Malware como carga útil que se entrega a través de una campaña de correo electrónico de phishing.
Los piratas informáticos diseñaron los correos electrónicos de phishing para que parecieran enviados por un departamento de recursos humanos o un representante legal. El pretexto falso es que el usuario objetivo ha perdido su empleo o que un cliente ha presentado una queja en su contra. Luego, el correo electrónico insta al destinatario a hacer clic en un enlace que conduce a una página de Google Docs. Se les dice a los usuarios que la vista previa del documento alojado allí se ha deshabilitado y tendrán que descargarlo. Sin embargo, en lugar del archivo 'document.doc' esperado, se coloca en la computadora un archivo JavaScript que inicia el script LightBot PowerShell.
El análisis de LightBot revela que es un robo de información optimizado diseñado para ayudar a los piratas informáticos de TrickBot a seleccionar cualquier objetivo de alto valor presente en la red ya comprometida. Elevar sus criterios para lo que se considera un objetivo digno permite a los ciberdelincuentes seleccionar solo un par de entidades que se infectarán con Ryuk Ransomware u otra potente amenaza de ransomware.
Tras la ejecución, LightBot inicia el contacto con sus servidores de Comando y Control (C2, C&C) y continúa haciendo conexiones repetidas mientras espera que se transmitan scripts de PowerShell adicionales. Los scripts entregados desde la infraestructura C2 contienen diferentes parámetros que determinan qué datos desean recibir los piratas informáticos de la herramienta de reconocimiento LightBot. Los detalles recopilados por la amenaza pueden incluir información de hardware, computadora y nombre de usuario, versión de Windows, dirección IP, controladores de dominio de Windows, dominio DNS, lista de programas instalados y la tarjeta de red que se está utilizando.
LightBot también crea dos archivos en la carpeta ' % Temp% '. Uno es una cadena codificada en base64, mientras que el otro script de PowerShell tiene la tarea de decodificar y ejecutar la cadena base64. Se cree que este es un mecanismo de persistencia establecido por LightBot debido a la tarea programada que se crea para iniciar el script de PowerShell todos los días a las 7 a.m.
El lanzamiento de una nueva herramienta de reconocimiento por parte de la pandilla TrickBot demuestra su resistencia y adaptabilidad, ya que se produce poco después de que sus operaciones se vieron fuertemente afectadas por un ataque coordinado llevado a cabo por varios departamentos de seguridad cibernética de empresas de seguridad informática, incluido Microsoft.
