LilithBot

LilithBot ialah ancaman perisian hasad baharu dengan set ciri mengancam yang luas yang ditawarkan dalam skim MaaS (Malware-as-a-Service). Ancaman itu adalah sebahagian daripada alat penggodam yang ditawarkan oleh kumpulan ancaman yang dijejaki sebagai Eternity (EternityTeam, Eternity Project). Penjenayah siber telah aktif sejak sekurang-kurangnya Januari 2022 dan telah dikaitkan dengan 'Kumpulan Jester' Rusia. Butiran mengenai LilithBot dan pembangunnya telah didedahkan kepada umum dalam laporan oleh penyelidik keselamatan siber.

Menurut penemuan mereka, LilithBot ditawarkan kepada bakal pelanggan penjenayah siber melalui kumpulan Telegram yang berdedikasi dan boleh dibeli dengan mengikuti pautan yang menuju ke tapak web yang dihoskan pada rangkaian Tor. Tapak ini bertindak sebagai laman utama untuk produk penggodam Eternity, dengan alat yang paling mahal ialah ancaman perisian tebusan.

Apabila ia berkaitan dengan LilithBot, ancaman itu ialah perisian hasad canggih yang menggabungkan fungsi botnet dengan pelombong kripto, gunting dan pencuri. Penyelidik Infosec ambil perhatian bahawa LilithBot telah melalui beberapa lelaran semasa proses pembangunannya, dengan arahan yang terdapat dalam versi terdahulu dialih keluar dalam keluaran kemudian. Walau bagaimanapun, para penyelidik memberi amaran bahawa pelakon ancaman mungkin masih melaksanakan fungsi yang dikeluarkan, tetapi dengan cara yang lebih tersembunyi.

Apabila diaktifkan pada sistem yang dijangkiti, ancaman itu akan mendaftarkan dirinya sebagai bot terlebih dahulu. Seterusnya, LilithBot akan menyahsulit sendiri untuk menjatuhkan fail konfigurasinya pada peranti. Malware menggunakan mekanisme penyahsulitannya sendiri dalam usaha untuk mengelakkan daripada dinyahsulit secara manual. Komponen pencuri ancaman mengumpul maklumat yang merangkumi sejarah penyemak imbas, kuki dan data peribadi, seperti gambar. Fail yang diperolehi ditambahkan pada arkib ZIP sebelum dihantar ke pelayan Perintah-dan-Kawalan (C2, C&C) operasi.

LilithBot menggunakan sijil palsu untuk meningkatkan peluangnya untuk kekal tidak dapat dikesan. Walau bagaimanapun, sijil yang dikenal pasti nampaknya dikeluarkan oleh 'Microsoft Code Signing PCA 2011' tetapi tidak mempunyai pengesahan dan tandatangan balas yang betul.