LilithBot

LilithBot என்பது MaaS (Malware-as-a-Service) திட்டத்தில் வழங்கப்படும் அச்சுறுத்தும் அம்சங்களின் விரிவான தொகுப்பைக் கொண்ட புதிய தீம்பொருள் அச்சுறுத்தலாகும். அச்சுறுத்தல் என்பது எடர்னிட்டி (EternityTeam, Eternity Project) என கண்காணிக்கப்படும் அச்சுறுத்தல் குழுவால் வழங்கப்படும் ஹேக்கர் கருவிகளின் ஒரு பகுதியாகும். சைபர் கிரைமினல்கள் குறைந்தது ஜனவரி 2022 முதல் செயலில் உள்ளனர் மற்றும் ரஷ்ய 'ஜெஸ்டர் குழுவுடன்' இணைக்கப்பட்டுள்ளனர். LilithBot மற்றும் அதன் டெவலப்பர்கள் பற்றிய விவரங்கள் இணைய பாதுகாப்பு ஆய்வாளர்களின் அறிக்கையில் பொதுமக்களுக்கு தெரியப்படுத்தப்பட்டுள்ளன.

அவர்களின் கண்டுபிடிப்புகளின்படி, LilithBot ஒரு பிரத்யேக டெலிகிராம் குழு மூலம் சாத்தியமான சைபர் கிரைமினல் வாடிக்கையாளர்களுக்கு வழங்கப்படுகிறது மற்றும் Tor நெட்வொர்க்கில் ஹோஸ்ட் செய்யப்பட்ட வலைத்தளத்திற்கு வழிவகுக்கும் இணைப்பைப் பின்தொடர்வதன் மூலம் வாங்கலாம். எடர்னிட்டி ஹேக்கர்களின் தயாரிப்புகளுக்கான முகப்புப் பக்கமாக இந்தத் தளம் செயல்படுகிறது, மிக விலையுயர்ந்த கருவி ransomware அச்சுறுத்தலாகும்.

LilithBot க்கு வரும்போது, அச்சுறுத்தலானது ஒரு அதிநவீன தீம்பொருளாகும், இது ஒரு போட்நெட்டின் செயல்பாட்டை ஒரு கிரிப்டோ-மைனர், கிளிப்பர் மற்றும் திருடனுடன் இணைக்கிறது. இன்ஃபோசெக் ஆராய்ச்சியாளர்கள் லிலித்போட் அதன் வளர்ச்சிச் செயல்பாட்டின் போது பல மறு செய்கைகளைச் செய்துள்ளதாகக் குறிப்பிடுகின்றனர், முந்தைய பதிப்புகளில் இருந்த கட்டளைகள் பின்னர் வெளியீடுகளில் அகற்றப்பட்டன. இருப்பினும், அச்சுறுத்தல் நடிகர்கள் அகற்றப்பட்ட செயல்பாடுகளை இன்னும் செய்யக்கூடும் என்று ஆராய்ச்சியாளர்கள் எச்சரிக்கின்றனர், ஆனால் ஒரு திருட்டுத்தனமான வழியில்.

பாதிக்கப்பட்ட கணினியில் செயல்படுத்தப்படும் போது, அச்சுறுத்தல் முதலில் தன்னை ஒரு போட்டாக பதிவு செய்யும். அடுத்து, LilithBot அதன் உள்ளமைவு கோப்பை சாதனத்தில் கைவிட தன்னை மறைகுறியாக்கும். தீம்பொருள் கைமுறையாக மறைகுறியாக்கப்படுவதைத் தடுக்கும் முயற்சியில் அதன் சொந்த மறைகுறியாக்க பொறிமுறையைப் பயன்படுத்துகிறது. அச்சுறுத்தலின் திருடர் கூறு, உலாவி வரலாறு, குக்கீகள் மற்றும் படங்கள் போன்ற தனிப்பட்ட தரவு ஆகியவற்றை உள்ளடக்கிய தகவலை சேகரிக்கிறது. பெறப்பட்ட கோப்புகள் செயல்பாட்டின் கட்டளை மற்றும் கட்டுப்பாடு (C2, C&C) சேவையகத்திற்கு அனுப்பப்படுவதற்கு முன், ZIP காப்பகத்தில் சேர்க்கப்படும்.

LilithBot கண்டறியப்படாமல் இருப்பதற்கான வாய்ப்புகளை அதிகரிக்க போலி சான்றிதழ்களைப் பயன்படுத்துகிறது. இருப்பினும், அடையாளம் காணப்பட்ட சான்றிதழ்கள் 'Microsoft Code Signing PCA 2011' ஆல் வழங்கப்பட்டதாகத் தெரிகிறது, ஆனால் சரியான சரிபார்ப்பு மற்றும் எதிர் கையொப்பம் இல்லை.