LilithBot

LilithBot është një kërcënim i ri malware me një grup të gjerë karakteristikash kërcënuese që ofrohet në një skemë MaaS (Malware-as-a-Service). Kërcënimi është pjesë e mjeteve të hakerëve të ofruara nga një grup kërcënimi i gjurmuar si Eternity (EternityTeam, Eternity Project). Kriminelët kibernetikë kanë qenë aktivë të paktën që nga janari 2022 dhe kanë qenë të lidhur me "Grupin Jester" rus. Detaje rreth LilithBot dhe zhvilluesve të tij janë zbuluar për publikun në një raport nga studiuesit e sigurisë kibernetike.

Sipas gjetjeve të tyre, LilithBot u ofrohet klientëve të mundshëm kriminelësh kibernetikë përmes një grupi të dedikuar Telegram dhe mund të blihet duke ndjekur një lidhje që çon në një faqe interneti të vendosur në rrjetin Tor. Sajti vepron si një faqe kryesore për produktet e hakerëve të Eternity, me mjetin më të shtrenjtë që është një kërcënim ransomware.

Kur bëhet fjalë për LilithBot, kërcënimi është një malware i sofistikuar që kombinon funksionalitetin e një botnet-i me atë të një kripto-minuesi, gërshetësi dhe vjedhësi. Studiuesit e Infosec vërejnë se LilithBot ka kaluar nëpër disa përsëritje gjatë procesit të zhvillimit të tij, me komandat e pranishme në versionet e mëparshme që janë hequr në lëshimet e mëvonshme. Megjithatë, studiuesit paralajmërojnë se aktorët e kërcënimit mund të kryejnë ende funksionet e hequra, por në një mënyrë më të fshehtë.

Kur aktivizohet në sistemin e infektuar, kërcënimi fillimisht do të regjistrohet si një bot. Më pas, LilithBot do të deshifrojë veten për të hedhur skedarin e tij të konfigurimit në pajisje. Malware përdor mekanizmin e vet të deshifrimit në një përpjekje për të parandaluar deshifrimin manual. Komponenti vjedhës i kërcënimit mbledh informacione që përfshijnë historikun e shfletuesit, kukit dhe të dhënat personale, të tilla si fotografitë. Skedarët e marrë shtohen në një arkiv ZIP përpara se të dërgohen në serverin Command-and-Control (C2, C&C) të operacionit.

LilithBot përdor certifikata të rreme për të rritur shanset e tij për të mbetur i pazbuluar. Megjithatë, certifikatat e identifikuara duket se janë lëshuar nga 'Microsoft Code Signing PCA 2011' por nuk kanë verifikimin dhe kundërnënshkrimin e duhur.