LilithBot
LilithBot je nova grožnja zlonamerne programske opreme z obsežnim naborom nevarnih funkcij, ki je na voljo v shemi MaaS (Malware-as-a-Service). Grožnja je del hekerskih orodij, ki jih ponuja skupina groženj, ki jo spremljamo kot Eternity (EternityTeam, Eternity Project). Kibernetski kriminalci so dejavni vsaj od januarja 2022 in so povezani z rusko skupino Jester Group. Podrobnosti o LilithBotu in njegovih razvijalcih so javnosti razkrili v poročilu raziskovalcev kibernetske varnosti.
Po njihovih ugotovitvah se LilithBot ponuja potencialnim strankam kibernetskega kriminala prek namenske skupine Telegram in ga je mogoče kupiti tako, da sledite povezavi, ki vodi do spletne strani, ki gostuje v omrežju Tor. Spletno mesto deluje kot domača stran za izdelke hekerjev Eternity, pri čemer je najdražje orodje grožnja z izsiljevalsko programsko opremo.
Ko gre za LilithBot, je grožnja sofisticirana zlonamerna programska oprema, ki združuje funkcionalnost botneta s funkcionalnostjo kripto-rudarja, strižnika in krajca. Raziskovalci Infosec ugotavljajo, da je LilithBot med razvojnim procesom šel skozi več iteracij, pri čemer so bili ukazi, ki so bili prisotni v prejšnjih različicah, odstranjeni v kasnejših izdajah. Vendar pa raziskovalci opozarjajo, da lahko akterji groženj še vedno opravljajo odstranjene funkcije, vendar na bolj prikrit način.
Ko se grožnja aktivira v okuženem sistemu, se najprej registrira kot bot. Nato se bo LilithBot dešifriral in spustil svojo konfiguracijsko datoteko v napravo. Zlonamerna programska oprema uporablja lasten mehanizem za dešifriranje, da bi preprečila ročno dešifriranje. Stealer komponenta grožnje zbira informacije, ki vključujejo zgodovino brskalnika, piškotke in osebne podatke, kot so slike. Pridobljene datoteke se dodajo v arhiv ZIP, preden se pošljejo strežniku Command-and-Control (C2, C&C) operacije.
LilithBot uporablja ponarejena potrdila, da poveča svoje možnosti, da ostane neodkrit. Vendar se zdi, da so identificirana potrdila izdana s strani »Microsoft Code Signing PCA 2011«, vendar nimajo ustreznega preverjanja in sopodpisa.
