El nuevo malware de exploración de TrickBot para objetivos de alto valor


Truco bot

El infame TrickBot tiene una pandilla que lanzó una nueva herramienta de reconocimiento liviana que se usa para ubicar la red de una víctima infectada en busca de objetivos de alto valor.

Durante la semana pasada, los investigadores de seguridad comenzaron a ver una campaña de phishing que normalmente se usa para distribuir el malware BazarLoader de TrickBot para instalar un nuevo script de PowerShell malicioso.

Pío

Al igual que las campañas de phishing de BazarLoader, los correos electrónicos de phishing de LightBot pretenden provenir de RR.HH. o del departamento legal en relación con una queja de un cliente o la terminación del empleo del destinatario.

Como se ve en un correo electrónico de LightBot enviado a mi dirección de correo electrónico, contienen enlaces a un documento en https://drive.google.com.

Correo electrónico de phishing de LightBot enviado a BleepingComputer
Correo electrónico de phishing de LightBot enviado a BleepingComputer

Cuando los usuarios hacen clic en el enlace incrustado, se les dirigirá a una página de Google Docs que dice "La vista previa está deshabilitada" y le pide que descargue el archivo.

Página de destino de Google Docs
Página de destino de Google Docs

El archivo descargado es un archivo JavaScript que iniciará el script LightBot PowerShell.

Índice()

    LightBot: una herramienta de reconocimiento ligera

    Apodado LightBot por Advanced Intel Vitali Kremez, este script de PowerShell es una herramienta de reconocimiento liviana que recopila información sobre la red de una víctima para determinar si son de gran valor y deben ser el objetivo de futuros ataques.

    "El nuevo grupo de TrickBot" LightBot "es un script de reconocimiento de PowerShell utilizado por el mismo grupo relacionado con incidentes de violación y ransomware de alto nivel que involucran al Servicio de Salud Universal (UHS). LightBot se centra en el reconocimiento de objetivos de alto valor a través de red y activar directorio (similar a la secuencia de comandos del generador de perfiles de reconocimiento FIN7) ".

    "Sospechamos que LightBot se está utilizando como otro medio (además del ligero BazarBackdoor oculto) para seleccionar manualmente los objetivos del ransomware Ryuk a través del análisis de red / dominio, parte de la cadena de eliminación del ransomware Cobalt Strike para Ryuk", dijo Kremez. BleepingComputer en conversación.

    Después de aprender y recibir un correo electrónico de phishing con este nuevo script, BleepingComputer analizó la herramienta para determinar qué información se recopila durante su funcionamiento.

    Cuando se ejecuta el script de PowerShell LightBot, realizará conexiones repetidas a un servidor de comando y control (C2) para recibir scripts de PowerShell adicionales para ejecutar y enviar los datos recopilados durante ejecuciones anteriores.

    Fiddler mostrando conexiones LightBot a C2
    Fiddler mostrando conexiones LightBot a C2

    Los scripts enviados por el C2 son todos iguales pero con diferentes comandos para recopilar los datos deseados de los actores de la amenaza. Por ejemplo, a continuación, puede ver el script utilizado para recopilar información sobre la configuración de la dirección IP de la computadora y el dominio de Windows.

    Ejemplo de script de PowerShell utilizado para recopilar información de dominio
    Ejemplo de script de PowerShell utilizado para recopilar información de dominio

    De nuestras ejecuciones del script malicioso, LightBot recopila los siguientes datos:

    • Nombre del ordenador
    • Información de hardware
    • Nombre de usuario
    • Versión de Windows
    • Lista de controladores de dominio de Windows
    • Nombre del controlador de dominio principal (PDC)
    • Dirección IP configurada
    • Dominio DNS
    • Tipo de tarjeta de red
    • Lista de programas instalados

    Como parte de este proceso, los scripts también crearán dos archivos en la carpeta% Temp%. El primero es un archivo de texto que contiene una cadena cifrada codificada en base64 y el segundo archivo es un script de PowerShell que decodifica la cadena base64 y la ejecuta.

    Este script de PowerShell se inicia todos los días a las 7:00 am a través de una tarea programada creada.

    Tarea programada para iniciar el script
    Tarea programada para iniciar el script

    El C2 arrojó un error cuando se descargó el script de PowerShell cifrado, por lo que no se sabe qué acciones realiza esta tarea programada. Se cree que es un método de persistencia.

    Una vez finalizados los comandos iniciales enviados por el C2, LightBot continuará ejecutándose en segundo plano y se conectará regularmente al C2 para obtener nuevos comandos.

    El mes pasado, Microsoft y otras empresas de seguridad realizaron una eliminación coordinada de TrickBot, que afectó sus operaciones. Esta continua evolución de nuevas herramientas, sin embargo, muestra la adaptabilidad y resistencia del grupo de hackers.

    Todos los administradores deben estar atentos a las campañas de phishing LightBot, ya que el resultado final probablemente será un ataque de ransomware Ryuk o Conti en toda la red.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir