LilithBot
LilithBot er en ny malware-trussel med et ekspansivt sett med truende funksjoner som tilbys i et MaaS-opplegg (Malware-as-a-Service). Trusselen er en del av hackerverktøyene som tilbys av en trusselgruppe sporet som Eternity (EternityTeam, Eternity Project). De nettkriminelle har vært aktive siden minst januar 2022 og har vært knyttet til den russiske 'Jester Group'. Detaljer om LilithBot og dets utviklere har blitt avslørt for offentligheten i en rapport fra cybersikkerhetsforskere.
I følge funnene deres, blir LilithBot tilbudt potensielle nettkriminelle kunder gjennom en dedikert Telegram-gruppe og kan kjøpes ved å følge en lenke som fører til et nettsted som er vert på Tor-nettverket. Siden fungerer som en hjemmeside for Eternity-hackernes produkter, med det dyreste verktøyet en løsepengevaretrussel.
Når det gjelder LilithBot, er trusselen en sofistikert skadelig programvare som kombinerer funksjonaliteten til et botnett med funksjonaliteten til en kryptominer, klipper og stjeler. Infosec-forskere bemerker at LilithBot har gått gjennom flere iterasjoner under utviklingsprosessen, med kommandoer som finnes i tidligere versjoner som ble fjernet i senere utgivelser. Forskerne advarer imidlertid om at trusselaktørene fortsatt kan utføre de fjernede funksjonene, men på en mer snikende måte.
Når den aktiveres på det infiserte systemet, vil trusselen først registrere seg som en bot. Deretter vil LilithBot dekryptere seg selv for å slippe konfigurasjonsfilen på enheten. Skadevaren bruker sin egen dekrypteringsmekanisme i et forsøk på å forhindre at den blir dekryptert manuelt. Styverkomponenten i trusselen samler informasjon som inkluderer nettleserhistorikk, informasjonskapsler og personlige data, for eksempel bilder. De innhentede filene legges til et ZIP-arkiv før de sendes til Command-and-Control-serveren (C2, C&C) for operasjonen.
LilithBot bruker falske sertifikater for å øke sjansene for å forbli uoppdaget. Imidlertid ser det ut til at de identifiserte sertifikatene er utstedt av 'Microsoft Code Signing PCA 2011', men mangler riktig verifisering og kontrasignatur.
