LilithBot

LilithBot on uus pahavaraoht, millel on suur hulk ähvardavaid funktsioone, mida pakutakse MaaS-i (Malware-as-a-Service) skeemis. Oht on osa häkkeritööriistadest, mida pakub Eternity (EternityTeam, Eternity Project) jälgitav ohurühm. Küberkurjategijad on tegutsenud vähemalt 2022. aasta jaanuarist ja neid on seostatud Venemaa nn Jester Groupiga. Üksikasjad LilithBoti ja selle arendajate kohta on avalikustatud küberjulgeoleku teadlaste raportis.

Nende leidude kohaselt pakutakse LilithBoti potentsiaalsetele küberkurjategijatele klientidele spetsiaalse Telegrami grupi kaudu ja seda saab osta, järgides linki, mis viib Tor-võrgus hostitud veebisaidile. Sait toimib Eternity häkkerite toodete kodulehena, kusjuures kõige kallim tööriist on lunavaraoht.

LilithBoti puhul on oht keerukas pahavara, mis ühendab botneti funktsionaalsuse krüptokaevandaja, -lõikuri ja varastaja funktsioonidega. Infoseci teadlased märgivad, et LilithBot on oma arendusprotsessi käigus läbinud mitu iteratsiooni, kusjuures varasemates versioonides olevad käsud eemaldati hilisemates väljaannetes. Teadlased hoiatavad aga, et ohus osalejad võivad eemaldatud funktsioone siiski täita, kuid vargsemalt.

Nakatunud süsteemis aktiveerimisel registreerib oht end esmalt robotina. Järgmisena dekrüpteerib LilithBot end, et oma konfiguratsioonifail seadmesse visata. Pahavara kasutab oma dekrüpteerimismehhanismi, et vältida käsitsi dekrüpteerimist. Ohu varastav komponent kogub teavet, mis hõlmab brauseri ajalugu, küpsiseid ja isikuandmeid, näiteks pilte. Saadud failid lisatakse enne toimingu Command-and-Control (C2, C&C) serverisse saatmist ZIP-arhiivi.

LilithBot kasutab võltssertifikaate, et suurendada oma võimalusi avastamata jääda. Tundub, et tuvastatud sertifikaadid on välja andnud Microsoft Code Signing PCA 2011, kuid neil puudub nõuetekohane kinnitus ja allkiri.