LilithBot

До Mezo през Botnets, Advanced Persistent Threat (APT), Malwareг

Превод на:

LilithBot е нова заплаха за злонамерен софтуер с обширен набор от заплашителни функции, която се предлага в схема MaaS (Malware-as-a-Service). Заплахата е част от хакерските инструменти, предлагани от група за заплахи, проследявана като Eternity (EternityTeam, Eternity Project). Киберпрестъпниците са активни най-малко от януари 2022 г. и са свързани с руската „Джестър група“. Подробности за LilithBot и неговите разработчици бяха разкрити на обществеността в доклад на изследователи по киберсигурност.

Според техните констатации LilithBot се предлага на потенциални клиенти на киберпрестъпници чрез специална група в Telegram и може да бъде закупен, като следвате връзка, водеща към уебсайт, хостван в мрежата Tor. Сайтът действа като начална страница за продуктите на хакерите на Eternity, като най-скъпият инструмент е заплаха за рансъмуер.

Що се отнася до LilithBot, заплахата е усъвършенстван злонамерен софтуер, който съчетава функционалността на ботнет с тази на крипто копач, клипер и крадец. Изследователите на Infosec отбелязват, че LilithBot е преминал през няколко итерации по време на процеса на разработка, като командите, присъстващи в по-ранните версии, са премахнати в по-късните версии. Въпреки това, изследователите предупреждават, че участниците в заплахата все още могат да изпълняват премахнатите функции, но по по-скрит начин.

Когато се активира в заразената система, заплахата първо ще се регистрира като бот. След това LilithBot ще се дешифрира, за да пусне конфигурационния си файл на устройството. Злонамереният софтуер използва собствен механизъм за декриптиране в опит да предотврати ръчното дешифриране. Компонентът крадец на заплахата събира информация, която включва история на браузъра, бисквитки и лични данни, като например снимки. Получените файлове се добавят към ZIP архив, преди да бъдат изпратени до Command-and-Control (C2, C&C) сървъра на операцията.

LilithBot използва фалшиви сертификати, за да увеличи шансовете си да остане незабелязан. Идентифицираните сертификати обаче изглежда са издадени от „Microsoft Code Signing PCA 2011“, но им липсва подходяща проверка и контраподпис.