LilithBot

LilithBot je nová malvérová hrozba s rozsiahlym súborom ohrozujúcich funkcií, ktoré sú ponúkané v schéme MaaS (Malware-as-a-Service). Hrozba je súčasťou hackerských nástrojov, ktoré ponúka skupina hrozieb sledovaná ako Eternity (EternityTeam, Eternity Project). Kyberzločinci sú aktívni prinajmenšom od januára 2022 a sú spojení s ruskou „Skupinou šašov“. Podrobnosti o LilithBot a jeho vývojároch boli verejnosti odhalené v správe výskumníkov v oblasti kybernetickej bezpečnosti.

Podľa ich zistení je LilithBot ponúkaný potenciálnym klientom s kyberzločincom prostredníctvom vyhradenej skupiny Telegram a je možné si ho zakúpiť kliknutím na odkaz vedúci na webovú stránku hosťovanú v sieti Tor. Stránka funguje ako domovská stránka pre produkty hackerov Eternity, pričom najdrahším nástrojom je hrozba ransomvéru.

Pokiaľ ide o LilithBot, hrozbou je sofistikovaný malvér, ktorý kombinuje funkčnosť botnetu s funkciou crypto-minera, clipperu a zlodeja. Výskumníci spoločnosti Infosec poznamenávajú, že LilithBot prešiel počas procesu vývoja niekoľkými iteráciami, pričom príkazy prítomné v starších verziách boli v neskorších vydaniach odstránené. Výskumníci však varujú, že aktéri hrozby môžu stále vykonávať odstránené funkcie, ale nenápadnejším spôsobom.

Po aktivácii na infikovanom systéme sa hrozba najskôr zaregistruje ako bot. Potom sa LilithBot sám dešifruje, aby do zariadenia vložil svoj konfiguračný súbor. Malvér používa svoj vlastný dešifrovací mechanizmus v snahe zabrániť manuálnemu dešifrovaniu. Zlodejský komponent hrozby zhromažďuje informácie, ktoré zahŕňajú históriu prehliadača, súbory cookie a osobné údaje, ako sú obrázky. Získané súbory sa pred odoslaním na server Command-and-Control (C2, C&C) operácie pridajú do archívu ZIP.

LilithBot využíva falošné certifikáty, aby zvýšil svoje šance, že zostane neodhalený. Zdá sa však, že identifikované certifikáty vydáva „Microsoft Code Signing PCA 2011“, ale chýba im riadne overenie a spolupodpis.