LilithBot

LilithBot یک تهدید بدافزار جدید با مجموعه گسترده ای از ویژگی های تهدید کننده است که در طرح MaaS (Malware-as-a-Service) ارائه می شود. این تهدید بخشی از ابزارهای هکری است که توسط یک گروه تهدید با نام Eternity (EternityTeam، Eternity Project) ردیابی شده است. مجرمان سایبری حداقل از ژانویه 2022 فعال بوده اند و با "گروه جستر" روسی مرتبط بوده اند. جزئیات مربوط به LilithBot و توسعه دهندگان آن در گزارشی توسط محققان امنیت سایبری برای عموم فاش شده است.

بر اساس یافته‌های آن‌ها، LilithBot از طریق یک گروه اختصاصی تلگرام به مشتریان بالقوه مجرمان سایبری ارائه می‌شود و می‌توان آن را با دنبال کردن یک لینک منتهی به یک وب‌سایت میزبانی شده در شبکه Tor خریداری کرد. این سایت به عنوان یک صفحه اصلی برای محصولات هکرهای Eternity عمل می کند و گران ترین ابزار آن تهدید باج افزار است.

وقتی صحبت از LilithBot به میان می‌آید، تهدید یک بدافزار پیچیده است که عملکرد یک بات‌نت را با یک کریپتو ماینر، کلیپر و دزد ترکیب می‌کند. محققان Infosec خاطرنشان می کنند که LilithBot در طول فرآیند توسعه خود چندین بار تکرار شده است و دستورات موجود در نسخه های قبلی در نسخه های بعدی حذف شده اند. با این حال، محققان هشدار می دهند که عوامل تهدید ممکن است همچنان عملکردهای حذف شده را انجام دهند، اما به روشی مخفیانه تر.

هنگامی که تهدید در سیستم آلوده فعال می شود، ابتدا خود را به عنوان یک ربات ثبت می کند. در مرحله بعد، LilithBot خود را رمزگشایی می کند تا فایل پیکربندی خود را روی دستگاه رها کند. این بدافزار از مکانیزم رمزگشایی خود برای جلوگیری از رمزگشایی دستی استفاده می کند. مؤلفه دزد تهدید اطلاعاتی را جمع آوری می کند که شامل تاریخچه مرورگر، کوکی ها و داده های شخصی مانند تصاویر می شود. فایل های به دست آمده قبل از ارسال به سرور فرماندهی و کنترل (C2, C&C) عملیات به آرشیو ZIP اضافه می شوند.

LilithBot از گواهی‌های جعلی برای افزایش شانس ناشناخته ماندن خود استفاده می‌کند. با این حال، به نظر می‌رسد گواهی‌های شناسایی شده توسط «Microsoft Code Signing PCA 2011» صادر شده‌اند، اما فاقد تأیید و امضای مناسب هستند.