LilithBot

LilithBot és una nova amenaça de programari maliciós amb un ampli conjunt de funcions amenaçadores que s'ofereix en un esquema MaaS (Malware-as-a-Service). L'amenaça forma part de les eines de pirates informàtics que ofereix un grup d'amenaces rastrejat com a Eternity (EternityTeam, Eternity Project). Els ciberdelinqüents han estat actius almenys des de gener de 2022 i estan vinculats al "Grup de bufons" rus. Els detalls sobre LilithBot i els seus desenvolupadors s'han revelat al públic en un informe d'investigadors de ciberseguretat.

Segons les seves conclusions, LilithBot s'ofereix a possibles clients cibercriminals a través d'un grup dedicat de Telegram i es pot comprar seguint un enllaç que condueix a un lloc web allotjat a la xarxa Tor. El lloc actua com a pàgina d'inici dels productes dels pirates informàtics Eternity, amb l'eina més cara que és una amenaça de ransomware.

Quan es tracta de LilithBot, l'amenaça és un programari maliciós sofisticat que combina la funcionalitat d'una xarxa de bots amb la d'un criptominero, tallador i robador. Els investigadors d'Infosec assenyalen que LilithBot ha passat per diverses iteracions durant el seu procés de desenvolupament, i les ordres presents en versions anteriors s'eliminen en versions posteriors. Tanmateix, els investigadors adverteixen que els actors de l'amenaça encara poden realitzar les funcions eliminades, però d'una manera més furtiva.

Quan s'activa al sistema infectat, l'amenaça es registrarà primer com a bot. A continuació, LilithBot es desxifrarà per deixar anar el seu fitxer de configuració al dispositiu. El programari maliciós utilitza el seu propi mecanisme de desxifrat per intentar evitar que es desenxifra manualment. El component robatori de l'amenaça recopila informació que inclou l'historial del navegador, galetes i dades personals, com ara imatges. Els fitxers obtinguts s'afegeixen a un arxiu ZIP abans d'enviar-se al servidor d'ordres i control (C2, C&C) de l'operació.

LilithBot utilitza certificats falsos per augmentar les seves possibilitats de no ser detectat. Tanmateix, els certificats identificats semblen ser emesos per "Microsoft Code Signing PCA 2011", però no tenen la verificació i la contrasignatura adequades.