LilithBot

O LilithBot é uma nova ameaça de malware com um amplo conjunto de recursos ameaçadores que está sendo oferecido em um esquema MaaS (Malware-as-a-Service). A ameaça faz parte das ferramentas de hackers oferecidas por um grupo de ameaças rastreado como Eternity (EternityTeam, Eternity Project). Os cibercriminosos estão ativos desde pelo menos janeiro de 2022 e estão ligados ao 'Grupo Jester' russo. Detalhes sobre o LilithBot e seus desenvolvedores foram revelados ao público em um relatório de pesquisadores de segurança cibernética.

De acordo com suas descobertas, o LilithBot está sendo oferecido a potenciais clientes cibercriminosos por meio de um grupo dedicado do Telegram e pode ser adquirido seguindo um link que leva a um site hospedado na rede Tor. O site funciona como uma página inicial para os produtos dos hackers Eternity, sendo a ferramenta mais cara uma ameaça de ransomware.

Quando se trata do LilithBot, a ameaça é um malware sofisticado que combina a funcionalidade de uma botnet com a de um minerador de criptomoedas, clipper e ladrão. Os pesquisadores da Infosec observam que o LilithBot passou por várias iterações durante seu processo de desenvolvimento, com comandos presentes em versões anteriores sendo removidos em versões posteriores. No entanto, os pesquisadores alertam que os agentes de ameaças ainda podem executar as funções removidas, mas de maneira mais furtiva.

Quando ativada no sistema infectado, a ameaça primeiro se registrará como um bot. Em seguida, o LilithBot se descriptografará para soltar seu arquivo de configuração no dispositivo. O malware usa seu próprio mecanismo de descriptografia na tentativa de evitar ser descriptografado manualmente. O componente ladrão da ameaça reúne informações que incluem histórico do navegador, cookies e dados pessoais, como fotos. Os arquivos obtidos são adicionados a um arquivo ZIP antes de serem enviados ao servidor de Comando e Controle (C2, C&C) da operação.

LilithBot utiliza certificados falsos para aumentar suas chances de permanecer indetectável. No entanto, os certificados identificados parecem ser emitidos pelo 'Microsoft Code Signing PCA 2011', mas não possuem a devida verificação e assinatura.