LilithBot

LilithBot je nova prijetnja od zlonamjernog softvera s ekspanzivnim skupom prijetećih značajki koje se nude u shemi MaaS (Malware-as-a-Service). Prijetnja je dio hakerskih alata koje nudi skupina prijetnji koja se prati kao Eternity (EternityTeam, Eternity Project). Kibernetički kriminalci aktivni su najmanje od siječnja 2022. i povezani su s ruskom 'Jester Group'. Pojedinosti o LilithBotu i njegovim programerima otkrivene su javnosti u izvješću istraživača kibernetičke sigurnosti.

Prema njihovim nalazima, LilithBot se nudi potencijalnim klijentima kibernetičkog kriminala putem namjenske Telegram grupe i može se kupiti slijedeći poveznicu koja vodi do web stranice koja se nalazi na mreži Tor. Stranica služi kao početna stranica za proizvode hakera Eternity, a najskuplji alat je prijetnja ransomwareom.

Kad je u pitanju LilithBot, prijetnja je sofisticirani zlonamjerni softver koji kombinira funkcionalnost botneta s onom kripto rudara, klipera i kradljivca. Istraživači Infoseca primjećuju da je LilithBot prošao kroz nekoliko iteracija tijekom procesa razvoja, pri čemu su naredbe prisutne u ranijim verzijama uklonjene u kasnijim izdanjima. Međutim, istraživači upozoravaju da akteri prijetnji mogu i dalje obavljati uklonjene funkcije, ali na tajniji način.

Kada se aktivira na zaraženom sustavu, prijetnja će se prvo registrirati kao bot. Zatim će se LilithBot dešifrirati kako bi ispustio svoju konfiguracijsku datoteku na uređaj. Zlonamjerni softver koristi vlastiti mehanizam za dešifriranje u pokušaju da spriječi ručno dešifriranje. Kradljiva komponenta prijetnje prikuplja informacije koje uključuju povijest preglednika, kolačiće i osobne podatke, poput slika. Dobivene datoteke dodaju se u ZIP arhivu prije slanja na Command-and-Control (C2, C&C) poslužitelj operacije.

LilithBot koristi lažne certifikate kako bi povećao svoje šanse da ostane neotkriven. Međutim, čini se da su identificirani certifikati izdani od strane 'Microsoft Code Signing PCA 2011', ali nemaju odgovarajuću provjeru i supotpis.