LightBot — новый инструмент разведки от создателей TrickBot

LightBot — новый инструмент разведки от создателей TrickBot

LightBot — новый инструмент разведки от создателей TrickBot

Авторы TrickBot создали новый облегченный инструмент, предназначенный для сбора данных о сети жертвы с целью развития атаки. В настоящее время вредоносный скрипт, который в Advanced Intel нарекли LightBot, распространяется через спам-рассылки и отдается со страниц, созданных злоумышленниками на веб-сервисе Google Документы.

Авторство LightBot было определено на основании схожести техник доставки. Новый зловред раздается с использованием тех же элементов социальной инженерии, которые ранее были замечены в кампаниях BazarLoader — программы-загрузчика с функциями бэкдора, которая унаследовала часть кода TrickBot.

Атака LightBot начинается с поддельного письма, имитирующего ответ HR или штатного юриста компании сотруднику, которого якобы собираются уволить по жалобе клиента. Фальшивка снабжена ссылками на некий документ в облаке Google; при заходе на указанную страницу получателю сообщают, что предварительный просмотр невозможен, и предлагают скачать документ на компьютер.

Нажатие встроенной ссылки влечет загрузку JavaScript-файла, замаскированного под документ Word. На самом деле его назначением является запуск вредоносного PowerShell-сценария — LightBot.

Анализ нового зловреда показал, что он способен в фоновом режиме поддерживать связь с C2-сервером, ожидая команд на загрузку других скриптов PowerShell, а также сбор и отправку информации. В ходе тестирования LightBot интересовался следующими данными:

  • имя компьютера
  • используемое оборудование
  • имя пользователя
  • версия Windows
  • список контроллеров домена Windows
  • имя основного контроллера домена
  • настройки подключения для статического IP-адреса
  • домен DNS
  • тип сетевого адаптера
  • список установленных программ

В обеспечение бесперебойной C2-связи в зараженной системе создается запланированное задание на ежедневный запуск вредоносного сценария в семь утра. Дополнительные скрипты, получаемые с сервера, помогают LightBot искать и отсылать только ту информацию, которая в данный момент интересует оператора. Это позволяет ему составить профиль жертвы и решить, стоит продолжать атаку или нет.

Телега начала возвращать деньги за подписку «Телега Плюс»

История с альтернативным телеграм-клиентом Телега получила продолжение. После объявления о прекращении работы команда проекта сообщила, что уже начала автоматически возвращать пользователям деньги за подписку «Телега Плюс».

Возвраты стартовали сразу после решения о закрытии сервиса. В компании подчеркивают: никаких заявлений подавать не нужно.

Деньги вернут автоматически, а пользователям отправят электронные чеки. Весь процесс может занять до недели.

Если подписка была оформлена после 27 мая 2026 года, стоимость компенсируют полностью. Тем, кто купил трехмесячный тариф раньше этой даты, вернут сумму за неиспользованный период.

Разработчики отдельно предупредили о возможных мошенниках. По их словам, команда не рассылает сообщения, не просит сообщить коды подтверждения и не отправляет ссылки для оформления возврата.

Напомним, о закрытии Телега стало известно 26 июня. Проект официально прекратит работу с 1 июля 2026 года. В качестве причин разработчики назвали невозможность обеспечить полное соответствие действующим требованиям для телеграм-клиентов, а также внешние ограничения, включая удаление приложения из App Store.

Любопытно, что еще совсем недавно ситуация выглядела прямо противоположной. В мае команда запустила подписку «Телега Плюс» стоимостью 99 рублей в месяц (или 1 рубль в первый месяц для новых пользователей), объяснив это резким ростом аудитории и необходимостью расширять серверные мощности.

Подписчикам обещали приоритетный доступ к сервису во время высокой нагрузки, подчеркивая, что речь идет не об аналоге Telegram Premium, а о механизме стабильного подключения.

Более того, из-за наплыва пользователей разработчикам даже пришлось временно ограничить регистрацию новых аккаунтов.

Однако спустя чуть больше месяца проект фактически свернул работу. Теперь команда сосредоточилась на том, чтобы корректно завершить сервис и вернуть деньги пользователям, оформившим подписку.

RSS: Новости на портале Anti-Malware.ru