LilithBot
A LilithBot egy új malware fenyegetés fenyegető funkciók kiterjedt készletével, amelyet a MaaS (Malware-as-a-Service) rendszerben kínálnak. A fenyegetés az Eternity néven nyomon követett fenyegetéscsoport (EternityTeam, Eternity Project) által kínált hackereszközök része. A kiberbűnözők legalább 2022 januárja óta tevékenykednek, és kapcsolatban állnak az orosz „Jester Group”-tal. A LilithBotról és fejlesztőiről részleteket tártak a nyilvánosság elé egy kiberbiztonsági kutatók jelentésében.
Megállapításaik szerint a LilithBotot egy dedikált Telegram-csoporton keresztül kínálják potenciális kiberbűnözőknek, és megvásárolhatók a Tor hálózaton tárolt webhelyre vezető link követésével. Az oldal az Eternity hackerek termékeinek honlapjaként működik, a legdrágább eszköz pedig a ransomware fenyegetés.
Ami a LilithBotot illeti, a fenyegetés egy olyan kifinomult rosszindulatú program, amely a botnet funkcionalitását kombinálja egy kriptobányász, vágógép és lopó funkcióval. Az Infosec kutatói megjegyzik, hogy a LilithBot több iteráción ment keresztül a fejlesztési folyamat során, és a korábbi verziókban jelen lévő parancsokat eltávolították a későbbi kiadásokban. A kutatók azonban arra figyelmeztetnek, hogy a fenyegetés szereplői továbbra is elláthatják az eltávolított funkciókat, de lopakodóbb módon.
A fertőzött rendszeren aktiválva a fenyegetés először botként regisztrálja magát. Ezután a LilithBot visszafejti magát, hogy a konfigurációs fájlt az eszközre dobja. A rosszindulatú program saját visszafejtési mechanizmusát használja, hogy megakadályozza a kézi visszafejtést. A fenyegetés lopó összetevője olyan információkat gyűjt, mint a böngészési előzmények, a cookie-k és a személyes adatok, például képek. A kapott fájlok egy ZIP archívumba kerülnek, mielőtt elküldik őket a művelet Command-and-Control (C2, C&C) szerverére.
A LilithBot hamis tanúsítványokat használ fel, hogy növelje annak esélyét, hogy észrevétlen marad. Az azonosított tanúsítványokat azonban úgy tűnik, hogy a „Microsoft Code Signing PCA 2011” állította ki, de hiányzik a megfelelő ellenőrzés és ellenjegyzés.
