LilithBot

LilithBot ir jauns ļaunprātīgas programmatūras drauds ar plašu apdraudošu funkciju kopumu, kas tiek piedāvāts MaaS (ļaunprātīgas programmatūras kā pakalpojuma) shēmā. Draudi ir daļa no hakeru rīkiem, ko piedāvā draudu grupa, kas izsekota kā Eternity (EternityTeam, Eternity Project). Kibernoziedznieki ir bijuši aktīvi vismaz kopš 2022. gada janvāra un ir saistīti ar Krievijas “Jester Group”. Sīkāka informācija par LilithBot un tā izstrādātājiem ir atklāta sabiedrībai kiberdrošības pētnieku ziņojumā.

Saskaņā ar viņu atklājumiem LilithBot tiek piedāvāts potenciālajiem kibernoziedzniekiem, izmantojot īpašu Telegram grupu, un to var iegādāties, sekojot saitei, kas ved uz vietni, kas tiek mitināta Tor tīklā. Vietne darbojas kā Eternity hakeru produktu mājas lapa, un visdārgākais rīks ir izspiedējvīrusa draudi.

Runājot par LilithBot, draudi ir sarežģīta ļaunprogrammatūra, kas apvieno robottīkla funkcionalitāti ar kriptogrāfijas ieguvēja, griezēja un zagļa funkcionalitāti. Infosec pētnieki atzīmē, ka LilithBot izstrādes procesā ir izgājis vairākas iterācijas, un iepriekšējās versijās esošās komandas tiek noņemtas vēlākos laidienos. Tomēr pētnieki brīdina, ka apdraudējuma dalībnieki joprojām var veikt noņemtās funkcijas, taču zaglīgāk.

Kad tas tiek aktivizēts inficētajā sistēmā, draudi vispirms reģistrēsies kā robotprogrammatūra. Pēc tam LilithBot atšifrēs sevi, lai ierīcē nomestu konfigurācijas failu. Ļaunprātīga programmatūra izmanto savu atšifrēšanas mehānismu, lai novērstu to manuālu atšifrēšanu. Draudu zagšanas komponents apkopo informāciju, kas ietver pārlūkprogrammas vēsturi, sīkfailus un personas datus, piemēram, attēlus. Iegūtie faili tiek pievienoti ZIP arhīvam pirms nosūtīšanas uz operācijas Command-and-Control (C2, C&C) serveri.

LilithBot izmanto viltotus sertifikātus, lai palielinātu iespējas palikt neatklātam. Tomēr šķiet, ka identificētos sertifikātus ir izdevis Microsoft Code Signing PCA 2011, taču tiem nav atbilstošas pārbaudes un paraksta.