LilithBot
LilithBot అనేది MaaS (మాల్వేర్-యాజ్-ఎ-సర్వీస్) పథకంలో అందించబడుతున్న విస్తారమైన బెదిరింపు ఫీచర్లతో కూడిన కొత్త మాల్వేర్ ముప్పు. ముప్పు అనేది ఎటర్నిటీ (EternityTeam, Eternity Project)గా ట్రాక్ చేయబడిన ముప్పు సమూహం అందించే హ్యాకర్ సాధనాల్లో భాగం. సైబర్ నేరగాళ్లు కనీసం జనవరి 2022 నుండి క్రియాశీలంగా ఉన్నారు మరియు రష్యన్ 'జెస్టర్ గ్రూప్'కి లింక్ చేయబడ్డారు. సైబర్ సెక్యూరిటీ పరిశోధకుల నివేదికలో LilithBot మరియు దాని డెవలపర్ల గురించిన వివరాలు ప్రజలకు వెల్లడించబడ్డాయి.
వారి పరిశోధనల ప్రకారం, లిలిత్బాట్ సంభావ్య సైబర్క్రిమినల్ క్లయింట్లకు అంకితమైన టెలిగ్రామ్ గ్రూప్ ద్వారా అందించబడుతోంది మరియు టోర్ నెట్వర్క్లో హోస్ట్ చేయబడిన వెబ్సైట్కి దారితీసే లింక్ను అనుసరించడం ద్వారా కొనుగోలు చేయవచ్చు. సైట్ ఎటర్నిటీ హ్యాకర్ల ఉత్పత్తులకు హోమ్పేజీగా పనిచేస్తుంది, అత్యంత ఖరీదైన సాధనం ransomware ముప్పు.
లిలిత్బాట్ విషయానికి వస్తే, ముప్పు అనేది బోట్నెట్ యొక్క కార్యాచరణను క్రిప్టో-మైనర్, క్లిప్పర్ మరియు స్టీలర్తో మిళితం చేసే అధునాతన మాల్వేర్. ఇన్ఫోసెక్ పరిశోధకులు లిలిత్బాట్ దాని అభివృద్ధి ప్రక్రియలో అనేక పునరావృత్తులు చేసిందని గమనించారు, మునుపటి సంస్కరణల్లో ఉన్న కమాండ్లు తరువాత విడుదలలలో తీసివేయబడతాయి. అయినప్పటికీ, ముప్పు నటులు ఇప్పటికీ తొలగించబడిన విధులను నిర్వహించవచ్చని పరిశోధకులు హెచ్చరిస్తున్నారు, కానీ దొంగతనంగా.
సోకిన సిస్టమ్లో యాక్టివేట్ అయినప్పుడు, ముప్పు మొదట బోట్గా నమోదు అవుతుంది. తర్వాత, LilithBot పరికరంలో దాని కాన్ఫిగరేషన్ ఫైల్ను వదలడానికి స్వయంగా డీక్రిప్ట్ చేస్తుంది. మాన్యువల్గా డీక్రిప్ట్ చేయబడకుండా నిరోధించే ప్రయత్నంలో మాల్వేర్ దాని స్వంత డీక్రిప్టింగ్ మెకానిజంను ఉపయోగిస్తుంది. ముప్పు యొక్క స్టీలర్ భాగం బ్రౌజర్ చరిత్ర, కుక్కీలు మరియు చిత్రాల వంటి వ్యక్తిగత డేటాను కలిగి ఉన్న సమాచారాన్ని సేకరిస్తుంది. పొందిన ఫైల్లు ఆపరేషన్ యొక్క కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్కు పంపబడే ముందు జిప్ ఆర్కైవ్కు జోడించబడతాయి.
LilithBot గుర్తించబడకుండా మిగిలిపోయే అవకాశాలను పెంచడానికి నకిలీ సర్టిఫికేట్లను ఉపయోగిస్తుంది. అయితే, గుర్తించబడిన సర్టిఫికెట్లు 'Microsoft Code Signing PCA 2011' ద్వారా జారీ చేయబడినట్లు కనిపిస్తున్నాయి కానీ సరైన ధృవీకరణ మరియు కౌంటర్ సంతకం లేదు.
