LilithBot

LilithBot je nová malwarová hrozba s rozsáhlou sadou ohrožujících funkcí, která je nabízena ve schématu MaaS (Malware-as-a-Service). Hrozba je součástí hackerských nástrojů nabízených skupinou hrozeb sledovanou jako Eternity (EternityTeam, Eternity Project). Kyberzločinci byli aktivní minimálně od ledna 2022 a byli napojeni na ruskou ‚Jester Group‘. Podrobnosti o LilithBot a jeho vývojářích byly veřejnosti odhaleny ve zprávě výzkumníků kybernetické bezpečnosti.

Podle jejich zjištění je LilithBot nabízen potenciálním klientům s kyberzločincem prostřednictvím specializované skupiny Telegram a lze jej zakoupit pomocí odkazu vedoucího na webovou stránku hostovanou v síti Tor. Stránka funguje jako domovská stránka pro produkty hackerů Eternity, přičemž nejdražším nástrojem je hrozba ransomwaru.

Pokud jde o LilithBot, hrozbou je sofistikovaný malware, který kombinuje funkce botnetu s funkcemi těžařů kryptoměn, clipperů a zlodějů. Výzkumníci společnosti Infosec poznamenávají, že LilithBot prošel během svého vývojového procesu několika iteracemi, přičemž příkazy obsažené v dřívějších verzích byly v pozdějších verzích odstraněny. Vědci však varují, že aktéři ohrožení mohou stále vykonávat odstraněné funkce, ale kradším způsobem.

Při aktivaci na infikovaném systému se hrozba nejprve zaregistruje jako bot. Dále se LilithBot dešifruje, aby na zařízení vložil svůj konfigurační soubor. Malware používá svůj vlastní dešifrovací mechanismus ve snaze zabránit tomu, aby byl dešifrován ručně. Komponenta zloděje hrozby shromažďuje informace, které zahrnují historii prohlížeče, soubory cookie a osobní data, jako jsou obrázky. Získané soubory jsou přidány do ZIP archivu před odesláním na server Command-and-Control (C2, C&C) operace.

LilithBot využívá falešné certifikáty, aby zvýšil své šance, že zůstane neodhalený. Zdá se však, že identifikované certifikáty byly vydány „Microsoft Code Signing PCA 2011“, ale postrádají řádné ověření a spolupodpis.