LilithBot

LilithBot è una nuova minaccia malware con un ampio set di funzionalità minacciose che viene offerto in uno schema MaaS (Malware-as-a-Service). La minaccia fa parte degli strumenti hacker offerti da un gruppo di minacce tracciato come Eternity (EternityTeam, Eternity Project). I criminali informatici sono attivi almeno da gennaio 2022 e sono stati collegati al "Gruppo Jester" russo. I dettagli su LilithBot e sui suoi sviluppatori sono stati rivelati al pubblico in un rapporto dei ricercatori di sicurezza informatica.

Secondo le loro scoperte, LilithBot viene offerto a potenziali clienti di criminali informatici attraverso un gruppo Telegram dedicato e può essere acquistato seguendo un collegamento che porta a un sito Web ospitato sulla rete Tor. Il sito funge da homepage per i prodotti degli hacker Eternity, con lo strumento più costoso che è una minaccia ransomware.

Quando si tratta di LilithBot, la minaccia è un malware sofisticato che combina la funzionalità di una botnet con quella di un crypto-miner, clipper e stealer. I ricercatori di Infosec notano che LilithBot ha subito diverse iterazioni durante il suo processo di sviluppo, con i comandi presenti nelle versioni precedenti che sono stati rimossi nelle versioni successive. Tuttavia, i ricercatori avvertono che gli attori della minaccia possono ancora svolgere le funzioni rimosse, ma in modo più furtivo.

Quando viene attivata sul sistema infetto, la minaccia si registrerà prima come bot. Successivamente, LilithBot si decrittograferà per rilasciare il suo file di configurazione sul dispositivo. Il malware utilizza il proprio meccanismo di decrittografia nel tentativo di impedire la decrittografia manuale. Il componente ladro della minaccia raccoglie informazioni che includono la cronologia del browser, i cookie e i dati personali, come le immagini. I file ottenuti vengono aggiunti a un archivio ZIP prima di essere inviati al server Command-and-Control (C2, C&C) dell'operazione.

LilithBot utilizza certificati falsi per aumentare le sue possibilità di non essere rilevato. Tuttavia, i certificati identificati sembrano essere emessi da "Microsoft Code Signing PCA 2011" ma mancano della verifica e della controfirma adeguate.