LilithBot

LilithBot is een nieuwe malwarebedreiging met een uitgebreide reeks bedreigende functies die wordt aangeboden in een MaaS-schema (Malware-as-a-Service). De dreiging maakt deel uit van de hackertools die worden aangeboden door een dreigingsgroep die wordt gevolgd als Eternity (EternityTeam, Eternity Project). De cybercriminelen zijn in ieder geval sinds januari 2022 actief en worden gelinkt aan de Russische 'Jester Group'. Details over LilithBot en zijn ontwikkelaars zijn openbaar gemaakt in een rapport van cybersecurity-onderzoekers.

Volgens hun bevindingen wordt LilithBot aangeboden aan potentiële cybercriminelen via een speciale Telegram-groep en kan het worden gekocht door een link te volgen die leidt naar een website die wordt gehost op het Tor-netwerk. De site fungeert als startpagina voor de producten van de Eternity-hackers, waarbij de duurste tool een ransomware-bedreiging is.

Als het gaat om LilithBot, is de dreiging een geavanceerde malware die de functionaliteit van een botnet combineert met die van een crypto-miner, clipper en stealer. Infosec-onderzoekers merken op dat LilithBot tijdens het ontwikkelingsproces verschillende iteraties heeft doorlopen, waarbij opdrachten die in eerdere versies aanwezig waren, in latere releases zijn verwijderd. De onderzoekers waarschuwen echter dat de dreigingsactoren de verwijderde functies nog steeds kunnen uitvoeren, maar op een heimelijke manier.

Wanneer geactiveerd op het geïnfecteerde systeem, zal de dreiging zichzelf eerst registreren als een bot. Vervolgens zal LilithBot zichzelf decoderen om het configuratiebestand op het apparaat te plaatsen. De malware gebruikt zijn eigen decoderingsmechanisme in een poging te voorkomen dat deze handmatig wordt gedecodeerd. Het stealer-onderdeel van de dreiging verzamelt informatie, waaronder browsergeschiedenis, cookies en persoonlijke gegevens, zoals afbeeldingen. De verkregen bestanden worden toegevoegd aan een ZIP-archief voordat ze naar de Command-and-Control (C2, C&C)-server van de operatie worden verzonden.

LilithBot gebruikt valse certificaten om de kans te vergroten om onopgemerkt te blijven. De geïdentificeerde certificaten lijken echter te zijn uitgegeven door 'Microsoft Code Signing PCA 2011', maar missen de juiste verificatie en medeondertekening.