LilithBot

LilithBot este o nouă amenințare malware cu un set extins de caracteristici amenințătoare, care este oferit într-o schemă MaaS (Malware-as-a-Service). Amenințarea face parte din instrumentele de hacker oferite de un grup de amenințări urmărit ca Eternity (EternityTeam, Eternity Project). Infractorii cibernetici sunt activi cel puțin din ianuarie 2022 și au fost legați de „Grupul bufonului” rus. Detalii despre LilithBot și dezvoltatorii săi au fost dezvăluite publicului într-un raport realizat de cercetătorii în domeniul securității cibernetice.

Conform constatărilor lor, LilithBot este oferit potențialilor clienți infracționali prin intermediul unui grup Telegram dedicat și poate fi achiziționat urmărind un link care duce la un site web găzduit în rețeaua Tor. Site-ul acționează ca o pagină de pornire pentru produsele hackerilor Eternity, cel mai scump instrument fiind o amenințare ransomware.

Când vine vorba de LilithBot, amenințarea este un malware sofisticat care combină funcționalitatea unei rețele bot cu cea a unui cripto-miner, tăietor și furt. Cercetătorii Infosec notează că LilithBot a trecut prin mai multe iterații în timpul procesului său de dezvoltare, comenzile prezente în versiunile anterioare fiind eliminate în versiunile ulterioare. Cu toate acestea, cercetătorii avertizează că actorii amenințărilor pot îndeplini în continuare funcțiile eliminate, dar într-un mod mai ascuns.

Când este activată pe sistemul infectat, amenințarea se va înregistra mai întâi ca bot. Apoi, LilithBot se va decripta singur pentru a-și arunca fișierul de configurare pe dispozitiv. Malware-ul folosește propriul mecanism de decriptare în încercarea de a preveni decriptarea manuală. Componenta de furt a amenințării adună informații care includ istoricul browserului, module cookie și date personale, cum ar fi imagini. Fișierele obținute sunt adăugate într-o arhivă ZIP înainte de a fi trimise la serverul de comandă și control (C2, C&C) al operațiunii.

LilithBot utilizează certificate false pentru a-și crește șansele de a rămâne nedetectat. Cu toate acestea, certificatele identificate par a fi emise de „Microsoft Code Signing PCA 2011”, dar nu au verificarea și contrasemnarea corespunzătoare.