Licenser för flera enheter (volymrabatter)
Threat Database Botnets LilithBot

LilithBot

Med Mezo år Botnets, Advanced Persistent Threat (APT), Malware
Översätt till:
Svenska

LilithBot är ett nytt skadlig programhot med en omfattande uppsättning hotfulla funktioner som erbjuds i ett MaaS-system (Malware-as-a-Service). Hotet är en del av hackerverktygen som erbjuds av en hotgrupp som spåras som Eternity (EternityTeam, Eternity Project). De cyberbrottslingar har varit aktiva sedan åtminstone januari 2022 och har varit kopplade till den ryska "Jester Group". Detaljer om LilithBot och dess utvecklare har avslöjats för allmänheten i en rapport från cybersäkerhetsforskare.

Enligt deras resultat erbjuds LilithBot till potentiella cyberkriminella kunder genom en dedikerad Telegram-grupp och kan köpas genom att följa en länk som leder till en webbplats som är värd på Tor-nätverket. Sajten fungerar som en hemsida för Eternity-hackarnas produkter, där det dyraste verktyget är ett ransomware-hot.

När det kommer till LilithBot är hotet en sofistikerad skadlig programvara som kombinerar funktionaliteten hos ett botnät med den hos en kryptominerare, klippare och stjälare. Infosec-forskare noterar att LilithBot har gått igenom flera iterationer under sin utvecklingsprocess, där kommandon som finns i tidigare versioner har tagits bort i senare utgåvor. Forskarna varnar dock för att hotaktörerna fortfarande kan utföra de borttagna funktionerna, men på ett smygande sätt.

När det aktiveras på det infekterade systemet kommer hotet först att registrera sig som en bot. Därefter kommer LilithBot att dekryptera sig själv för att släppa sin konfigurationsfil på enheten. Skadlig programvara använder sin egen dekrypteringsmekanism i ett försök att förhindra att den dekrypteras manuellt. Stöldkomponenten i hotet samlar in information som inkluderar webbläsarhistorik, cookies och personlig data, såsom bilder. De erhållna filerna läggs till i ett ZIP-arkiv innan de skickas till kommando-och-kontroll-servern (C2, C&C) för operationen.

LilithBot använder falska certifikat för att öka sina chanser att förbli oupptäckta. De identifierade certifikaten verkar dock vara utfärdade av 'Microsoft Code Signing PCA 2011' men saknar korrekt verifiering och motsignatur.

Trendigt

Mest sedda

Läser in...