La botnet TrickBot ha rilasciato LightBot, il nuovo malware di ricognizione utilizzato dal cybercrime per individuare obiettivi ad alto valore all’interno delle reti colpite. L’obiettivo centrale è l’installazione di un nuovo script PowerShell malevolo.
Soprannominato LightBot dall’esperto di cybersecurity Vitali Kremez di Advanced Intel, questo script PowerShell è uno strumento di ricognizione leggero che raccoglie informazioni sulla rete di una vittima per determinare se tali informazioni sono di alto valore e, quindi, “meritevoli” di ulteriori attacchi in futuro. Progettato dagli operatori di TrickBot, viene anche utilizzato dallo stesso gruppo del cybercrime per campagne di ransomware.
Le false e-mail di LightBot simulano di provenire da componenti della sezione HR o dall’ufficio legale di una società e comunicano al destinatario un reclamo o la cessazione del rapporto di lavoro dello stesso. In alcuni casi contengono un link a un documento su https://drive.google.com. dal quale, una volta cliccato il link incorporato, ci si ritrova su una pagina di Google Docs che mostra il messaggio “Anteprima disabilitata”, seguito dall’indicazione a scaricare il file. Il file scaricato è un JavaScript che lancia lo script LightBot.
Quando lo script PowerShell di LightBot viene eseguito, si osservano diverse connessioni a ripetizione a un server di comando e controllo (C2) per ricevere ulteriori script PowerShell da eseguire e per inviare i dati raccolti durante le precedenti esecuzioni. Dai test eseguiti su questo script malevolo è emerso che LightBot raccoglie dati come: nome del computer, informazioni sull’hardware, nome utente, versione Windows, elenco dei domain controller Windows, nome del primary domain controller (PDC), indirizzo IP configurato, dominio DNS, tipo di scheda di rete e elenco dei programmi installati.
Come parte di questo iter, gli script Powershell di LightBot creeranno anche due file nella cartella %Temp%. Il primo è un file di testo contenente una stringa di codice base64 criptata. Il secondo file è uno script PowerShell che decodifica ed esegue tale stringa. Questo script PowerShell viene lanciato ogni giorno alle 7 del mattino attraverso un’attività pianificata. Il C2 ha generato un errore quando è stato scaricato lo script PowerShell criptato. Per questo motivo non si è riusciti a capire quali azioni vengano eseguite durante questa attività pianificata. Ad oggi, la teoria più comune è che l’obiettivo sia la persistenza all’interno del sistema infetto. Una volta ultimati i comandi iniziali inviati dal C2, LightBot continuerà a funzionare in background e si connetterà a cadenze regolari al C2 per i nuovi comandi.