LilithBot
LilithBot হল একটি নতুন ম্যালওয়্যার হুমকি যার একটি বিস্তৃত হুমকির বৈশিষ্ট্য রয়েছে যা একটি MaaS (Malware-as-a-service) স্কিমে দেওয়া হচ্ছে। হুমকিটি হ্যাকার টুলের অংশ যা ইটারনিটি (ইটারনিটি টিম, ইটারনিটি প্রজেক্ট) হিসাবে ট্র্যাক করা একটি হুমকি গোষ্ঠী দ্বারা অফার করা হয়। সাইবার অপরাধীরা কমপক্ষে জানুয়ারী 2022 সাল থেকে সক্রিয় ছিল এবং রাশিয়ান 'জেস্টার গ্রুপ'-এর সাথে যুক্ত ছিল। সাইবারসিকিউরিটি গবেষকদের একটি প্রতিবেদনে লিলিথবট এবং এর বিকাশকারীদের সম্পর্কে বিশদ প্রকাশ করা হয়েছে।
তাদের অনুসন্ধান অনুসারে, লিলিথবট একটি ডেডিকেটেড টেলিগ্রাম গ্রুপের মাধ্যমে সম্ভাব্য সাইবার অপরাধী ক্লায়েন্টদের অফার করা হচ্ছে এবং টর নেটওয়ার্কে হোস্ট করা একটি ওয়েবসাইটের দিকে পরিচালিত একটি লিঙ্ক অনুসরণ করে কেনা যাবে। সাইটটি ইটারনিটি হ্যাকারদের পণ্যগুলির জন্য একটি হোমপেজ হিসাবে কাজ করে, সবচেয়ে ব্যয়বহুল সরঞ্জামটি একটি র্যানসমওয়্যার হুমকি।
যখন লিলিথবটের কথা আসে, হুমকি হল একটি অত্যাধুনিক ম্যালওয়্যার যা একটি ক্রিপ্টো-মানিনার, ক্লিপার এবং চুরিকারীর সাথে একটি বটনেটের কার্যকারিতাকে একত্রিত করে৷ ইনফোসেক গবেষকরা নোট করেছেন যে লিলিথবট তার বিকাশ প্রক্রিয়া চলাকালীন বেশ কয়েকটি পুনরাবৃত্তির মধ্য দিয়ে গেছে, পূর্ববর্তী সংস্করণগুলিতে উপস্থিত কমান্ডগুলি পরবর্তী প্রকাশগুলিতে সরানো হয়েছে। যাইহোক, গবেষকরা সতর্ক করেছেন যে হুমকি অভিনেতারা এখনও সরানো ফাংশনগুলি সম্পাদন করতে পারে, তবে একটি গোপন উপায়ে।
সংক্রামিত সিস্টেমে সক্রিয় হলে, হুমকিটি প্রথমে একটি বট হিসাবে নিজেকে নিবন্ধন করবে। এর পরে, লিলিথবট ডিভাইসে তার কনফিগারেশন ফাইল ড্রপ করতে নিজেকে ডিক্রিপ্ট করবে। ম্যালওয়্যারটি ম্যানুয়ালি ডিক্রিপ্ট হওয়া প্রতিরোধ করার প্রয়াসে তার নিজস্ব ডিক্রিপ্টিং প্রক্রিয়া ব্যবহার করে। হুমকির চুরিকারী উপাদান তথ্য সংগ্রহ করে যার মধ্যে রয়েছে ব্রাউজারের ইতিহাস, কুকিজ এবং ব্যক্তিগত ডেটা, যেমন ছবি। প্রাপ্ত ফাইলগুলি অপারেশনের কমান্ড-এন্ড-কন্ট্রোল (C2, C&C) সার্ভারে পাঠানোর আগে একটি ZIP সংরক্ষণাগারে যোগ করা হয়।
LilithBot জাল সার্টিফিকেট ব্যবহার করে তার অচেনা থাকার সম্ভাবনা বাড়ানোর জন্য। যাইহোক, চিহ্নিত শংসাপত্রগুলি 'Microsoft Code Signing PCA 2011' দ্বারা জারি করা হয়েছে বলে মনে হচ্ছে কিন্তু সঠিক যাচাইকরণ এবং পাল্টা স্বাক্ষরের অভাব রয়েছে৷
