LilithBot

LilithBot هو تهديد جديد للبرامج الضارة مع مجموعة واسعة من الميزات المهددة التي يتم تقديمها في نظام MaaS (Malware-as-a-Service). التهديد جزء من أدوات القرصنة التي تقدمها مجموعة التهديد التي يتم تعقبها باسم Eternity (EternityTeam ، Eternity Project). ينشط مجرمو الإنترنت منذ يناير 2022 على الأقل وتم ربطهم بمجموعة Jester Group الروسية. تم الكشف عن تفاصيل حول LilithBot ومطوريه للجمهور في تقرير صادر عن باحثي الأمن السيبراني.

وفقًا للنتائج التي توصلوا إليها ، يتم عرض LilithBot على عملاء مجرمي الإنترنت المحتملين من خلال مجموعة Telegram مخصصة ويمكن شراؤها باتباع رابط يؤدي إلى موقع ويب مستضاف على شبكة Tor. يعمل الموقع كصفحة رئيسية لمنتجات قراصنة Eternity ، مع كون الأداة الأكثر تكلفة هي تهديد برامج الفدية.

عندما يتعلق الأمر بـ LilithBot ، فإن التهديد عبارة عن برنامج ضار متطور يجمع بين وظائف الروبوتات ووظائف عامل التنقيب عن العملات المشفرة والمقص والسرقة. لاحظ باحثو Infosec أن LilithBot مر بالعديد من التكرارات أثناء عملية التطوير ، مع إزالة الأوامر الموجودة في الإصدارات السابقة في الإصدارات اللاحقة. ومع ذلك ، يحذر الباحثون من أن الجهات الفاعلة في التهديد قد تستمر في أداء الوظائف التي تمت إزالتها ، ولكن بطريقة خفية.

عند تنشيطه على النظام المصاب ، سيسجل التهديد نفسه أولاً على أنه روبوت. بعد ذلك ، سيقوم LilithBot بفك تشفير نفسه لإسقاط ملف التكوين الخاص به على الجهاز. تستخدم البرامج الضارة آلية فك التشفير الخاصة بها في محاولة لمنع فك التشفير يدويًا. يقوم مكون السرقة للتهديد بجمع المعلومات التي تتضمن محفوظات المتصفح وملفات تعريف الارتباط والبيانات الشخصية ، مثل الصور. تتم إضافة الملفات التي تم الحصول عليها إلى أرشيف مضغوط قبل إرسالها إلى خادم الأوامر والتحكم (C2 ، C&C) للعملية.

يستخدم LilithBot الشهادات المزيفة لزيادة فرص عدم اكتشافه. ومع ذلك ، يبدو أن الشهادات التي تم تحديدها صادرة عن "Microsoft Code Signing PCA 2011" ولكنها تفتقر إلى التحقق والتوقيع المناسب.