LilithBot

„LilithBot“ yra nauja kenkėjiškų programų grėsmė, turinti platų grėsmingų funkcijų rinkinį, siūlomą „MaaS“ („Malware-as-a-Service“) schemoje. Grėsmė yra įsilaužėlių įrankių dalis, kurią siūlo grėsmių grupė, sekama kaip Eternity (EternityTeam, Eternity Project). Kibernetiniai nusikaltėliai veikė mažiausiai nuo 2022 m. sausio mėn. ir buvo siejami su Rusijos „Jester Group“. Išsami informacija apie „LilithBot“ ir jo kūrėjus buvo atskleista visuomenei kibernetinio saugumo tyrinėtojų ataskaitoje.

Remiantis jų išvadomis, „LilithBot“ yra siūlomas potencialiems kibernetiniams nusikaltėliams per tam skirtą „Telegram“ grupę ir jį galima įsigyti spustelėjus nuorodą, vedančią į „Tor“ tinkle esančią svetainę. Svetainė veikia kaip „Eternity“ įsilaužėlių produktų pagrindinis puslapis, o brangiausias įrankis yra išpirkos programinės įrangos grėsmė.

Kalbant apie „LilithBot“, grėsmė yra sudėtinga kenkėjiška programa, derinanti botneto funkcijas su kriptovaliutų kasyklų, kirpimo mašinėlių ir vagysčių funkcijomis. „Infosec“ tyrėjai pažymi, kad „LilithBot“ kūrimo proceso metu atliko keletą iteracijų, o ankstesnėse versijose esančios komandos buvo pašalintos vėlesniuose leidimuose. Tačiau tyrėjai perspėja, kad grėsmės veikėjai vis tiek gali atlikti pašalintas funkcijas, tačiau vogčiau.

Suaktyvinus užkrėstoje sistemoje, grėsmė pirmiausia užsiregistruos kaip robotas. Tada „LilithBot“ iššifruos save, kad įrenginyje išmestų konfigūracijos failą. Kenkėjiška programa naudoja savo iššifravimo mechanizmą, kad būtų išvengta iššifravimo rankiniu būdu. Grėsmės vagių komponentas renka informaciją, apimančią naršyklės istoriją, slapukus ir asmeninius duomenis, pvz., nuotraukas. Gauti failai įtraukiami į ZIP archyvą prieš siunčiant juos į operacijos komandų ir valdymo (C2, C&C) serverį.

LilithBot naudoja netikrus sertifikatus, kad padidintų tikimybę likti nepastebėtam. Tačiau atrodo, kad identifikuotus sertifikatus išdavė „Microsoft Code Signing PCA 2011“, tačiau jiems trūksta tinkamo patvirtinimo ir parašo.