LilithBot
LilithBot er en ny malwaretrussel med et omfattende sæt truende funktioner, der tilbydes i en MaaS (Malware-as-a-Service)-ordning. Truslen er en del af hackerværktøjerne, der tilbydes af en trusselsgruppe, der spores som Eternity (EternityTeam, Eternity Project). De cyberkriminelle har været aktive siden mindst januar 2022 og har været knyttet til den russiske 'Jester Group'. Detaljer om LilithBot og dets udviklere er blevet afsløret for offentligheden i en rapport fra cybersikkerhedsforskere.
Ifølge deres resultater bliver LilithBot tilbudt til potentielle cyberkriminelle kunder gennem en dedikeret Telegram-gruppe og kan købes ved at følge et link, der fører til et websted, der er hostet på Tor-netværket. Siden fungerer som en hjemmeside for Eternity-hackernes produkter, hvor det dyreste værktøj er en ransomware-trussel.
Når det kommer til LilithBot, er truslen en sofistikeret malware, der kombinerer funktionaliteten af et botnet med funktionaliteten af en krypto-miner, klipper og stjæler. Infosec-forskere bemærker, at LilithBot har gennemgået adskillige iterationer under sin udviklingsproces, hvor kommandoer til stede i tidligere versioner er blevet fjernet i senere udgivelser. Forskerne advarer dog om, at trusselsaktørerne stadig kan udføre de fjernede funktioner, men på en mere snigende måde.
Når den aktiveres på det inficerede system, vil truslen først registrere sig selv som en bot. Dernæst vil LilithBot dekryptere sig selv for at slippe sin konfigurationsfil på enheden. Malwaren bruger sin egen dekrypteringsmekanisme i et forsøg på at forhindre, at den dekrypteres manuelt. Den stjæle-komponent af truslen indsamler oplysninger, der inkluderer browserhistorik, cookies og personlige data, såsom billeder. De opnåede filer tilføjes til et ZIP-arkiv, før de sendes til kommando-og-kontrol-serveren (C2, C&C) for operationen.
LilithBot bruger falske certifikater til at øge sine chancer for at forblive uopdaget. De identificerede certifikater ser dog ud til at være udstedt af 'Microsoft Code Signing PCA 2011', men mangler den korrekte verifikation og kontrasignatur.
