LilithBot
LilithBot एक MaaS (Malware-as-a-Service) योजनामा प्रस्ताव गरिएको धम्की दिने सुविधाहरूको विस्तृत सेटको साथमा एउटा नयाँ मालवेयर खतरा हो। खतरा अनन्तता (EternityTeam, Eternity Project) को रूपमा ट्र्याक गरिएको खतरा समूह द्वारा प्रस्ताव गरिएको ह्याकर उपकरणहरूको अंश हो। साइबर अपराधीहरू कम्तिमा जनवरी २०२२ देखि सक्रिय छन् र रूसी 'जेस्टर समूह'सँग जोडिएका छन्। LilithBot र यसको विकासकर्ताहरूको बारेमा विवरणहरू साइबरसुरक्षा अनुसन्धानकर्ताहरूको एक रिपोर्टमा सार्वजनिक गरिएको छ।
तिनीहरूको निष्कर्ष अनुसार, LilithBot सम्भावित साइबर अपराधी ग्राहकहरूलाई समर्पित टेलिग्राम समूह मार्फत प्रस्ताव गरिएको छ र टोर नेटवर्कमा होस्ट गरिएको वेबसाइटमा जाने लिङ्क पछ्याएर किन्न सकिन्छ। साइटले अनन्त ह्याकरहरूको उत्पादनहरूको लागि गृहपृष्ठको रूपमा कार्य गर्दछ, सबैभन्दा महँगो उपकरण ransomware खतराको साथ।
जब यो LilithBot को लागी आउँदछ, खतरा एक परिष्कृत मालवेयर हो जसले बोटनेटको कार्यक्षमतालाई क्रिप्टो-माइनर, क्लिपर र चोरको संयोजन गर्दछ। Infosec अनुसन्धानकर्ताहरूले नोट गरे कि LilithBot यसको विकास प्रक्रियाको क्रममा धेरै पुनरावृत्तिहरू पार गरेको छ, अघिल्लो संस्करणहरूमा अवस्थित आदेशहरू पछि रिलीजहरूमा हटाइयो। यद्यपि, अन्वेषकहरूले चेतावनी दिएका छन् कि खतरा अभिनेताहरूले अझै पनि हटाइएका कार्यहरू प्रदर्शन गर्न सक्छन्, तर लुकेर तरिकामा।
संक्रमित प्रणालीमा सक्रिय हुँदा, खतराले पहिले आफूलाई बोटको रूपमा दर्ता गर्नेछ। अर्को, LilithBot ले यन्त्रमा यसको कन्फिगरेसन फाइल ड्रप गर्न आफैलाई डिक्रिप्ट गर्नेछ। मालवेयरले म्यानुअल रूपमा डिक्रिप्ट हुनबाट रोक्नको लागि आफ्नै डिक्रिप्टिङ मेकानिजम प्रयोग गर्दछ। धम्कीको चोर घटकले ब्राउजर इतिहास, कुकीहरू, र व्यक्तिगत डेटा, जस्तै चित्रहरू समावेश गर्ने जानकारी सङ्कलन गर्दछ। प्राप्त फाइलहरू सञ्चालनको कमाण्ड-एन्ड-कन्ट्रोल (C2, C&C) सर्भरमा पठाउनु अघि ZIP अभिलेखमा थपिन्छन्।
LilithBot ले नक्कली सर्टिफिकेटहरू पत्ता नलाग्ने सम्भावना बढाउन प्रयोग गर्छ। यद्यपि, पहिचान गरिएका प्रमाणपत्रहरू 'Microsoft Code Signing PCA 2011' द्वारा जारी गरिएको देखिन्छ तर उचित प्रमाणीकरण र काउन्टरहस्ताक्षरको अभाव छ।
