LilithBot

ЛилитхБот је нова претња од малвера са широким скупом претећих функција које се нуде у МааС (Малваре-ас-а-Сервице) шеми. Претња је део хакерских алата које нуди група претњи праћена као Етернити (ЕтернитиТеам, Етернити Пројецт). Сајбер криминалци су активни најмање од јануара 2022. и повезани су са руском 'Јестер Гроуп'. Детаљи о ЛилитхБоту и његовим програмерима откривени су јавности у извештају истраживача сајбер безбедности.

Према њиховим налазима, ЛилитхБот се нуди потенцијалним клијентима сајбер-криминалаца преко наменске Телеграм групе и може се купити пратећи везу која води до веб странице хостоване на Тор мрежи. Сајт служи као почетна страница за производе Етернити хакера, а најскупљи алат је претња рансомваре-а.

Када је у питању ЛилитхБот, претња је софистицирани малвер који комбинује функционалност ботнета са крипто-рударом, клипером и крадљивцем. Инфосец истраживачи примећују да је ЛилитхБот прошао кроз неколико итерација током свог развојног процеса, при чему су команде присутне у ранијим верзијама уклоњене у каснијим издањима. Међутим, истраживачи упозоравају да актери претњи и даље могу обављати уклоњене функције, али на тајнији начин.

Када се активира на зараженом систему, претња ће се прво регистровати као бот. Затим, ЛилитхБот ће сам себе дешифровати како би испустио своју конфигурациону датотеку на уређај. Злонамерни софтвер користи сопствени механизам за дешифровање у покушају да спречи ручно дешифровање. Компонента за крађу претње прикупља информације које укључују историју прегледача, колачиће и личне податке, као што су слике. Добијене датотеке се додају у ЗИП архиву пре него што се пошаљу на командни и контролни (Ц2, Ц&Ц) сервер операције.

ЛилитхБот користи лажне сертификате да повећа своје шансе да остане неоткривен. Међутим, изгледа да је идентификоване сертификате издао „Мицрософт Цоде Сигнинг ПЦА 2011“, али немају одговарајућу верификацију и супотпис.