LilithBot
LilithBot to nowe zagrożenie złośliwym oprogramowaniem z rozbudowanym zestawem groźnych funkcji, które jest oferowane w ramach schematu MaaS (Malware-as-a-Service). Zagrożenie jest częścią narzędzi hakerskich oferowanych przez grupę zagrożeń śledzoną jako Eternity (EternityTeam, Eternity Project). Cyberprzestępcy działają co najmniej od stycznia 2022 r. i są powiązani z rosyjską „Grupą Jester”. Szczegóły dotyczące LilithBota i jego twórców zostały ujawnione opinii publicznej w raporcie opracowanym przez badaczy cyberbezpieczeństwa.
Zgodnie z ich ustaleniami, LilithBot jest oferowany potencjalnym klientom cyberprzestępczym za pośrednictwem dedykowanej grupy Telegram i można go kupić, klikając łącze prowadzące do strony internetowej hostowanej w sieci Tor. Witryna działa jako strona główna produktów hakerów Eternity, a najdroższym narzędziem jest zagrożenie ransomware.
Jeśli chodzi o LilithBot, zagrożeniem jest wyrafinowane złośliwe oprogramowanie, które łączy funkcjonalność botnetu z funkcjonalnością krypto-kopacza, clippera i złodzieja. Badacze Infosec zauważają, że LilithBot przeszedł kilka iteracji podczas procesu rozwoju, a polecenia obecne we wcześniejszych wersjach zostały usunięte w późniejszych wersjach. Badacze ostrzegają jednak, że cyberprzestępcy mogą nadal wykonywać usunięte funkcje, ale w bardziej ukradkowy sposób.
Po aktywacji w zainfekowanym systemie zagrożenie najpierw zarejestruje się jako bot. Następnie LilithBot odszyfruje się, aby upuścić plik konfiguracyjny na urządzenie. Szkodnik wykorzystuje swój własny mechanizm deszyfrujący, aby zapobiec ręcznemu odszyfrowaniu. Skradacz tego zagrożenia gromadzi informacje, które obejmują historię przeglądarki, pliki cookie i dane osobowe, takie jak zdjęcia. Uzyskane pliki są dodawane do archiwum ZIP przed wysłaniem do serwera Command-and-Control (C2, C&C) operacji.
LilithBot wykorzystuje fałszywe certyfikaty, aby zwiększyć swoje szanse na pozostanie niewykrytym. Jednak zidentyfikowane certyfikaty wydają się być wydane przez „Microsoft Code Signing PCA 2011”, ale nie mają odpowiedniej weryfikacji i kontrasygnaty.
