LilithBot
Ang LilithBot ay isang bagong banta ng malware na may malawak na hanay ng mga nagbabantang feature na inaalok sa isang MaaS (Malware-as-a-Service) scheme. Ang banta ay bahagi ng mga tool ng hacker na inaalok ng isang grupo ng pagbabanta na sinusubaybayan bilang Eternity (EternityTeam, Eternity Project). Ang mga cybercriminal ay naging aktibo mula pa noong Enero 2022 at na-link sa Russian 'Jester Group.' Ang mga detalye tungkol sa LilithBot at mga developer nito ay inihayag sa publiko sa isang ulat ng mga mananaliksik sa cybersecurity.
Ayon sa kanilang mga natuklasan, ang LilithBot ay inaalok sa mga potensyal na kliyente ng cybercriminal sa pamamagitan ng isang dedikadong grupo ng Telegram at maaaring mabili sa pamamagitan ng pagsunod sa isang link na humahantong sa isang website na naka-host sa network ng Tor. Ang site ay gumaganap bilang isang homepage para sa mga produkto ng Eternity hacker, na ang pinakamahal na tool ay isang banta ng ransomware.
Pagdating sa LilithBot, ang banta ay isang sopistikadong malware na pinagsasama ang functionality ng isang botnet sa isang crypto-miner, clipper at stealer. Napansin ng mga mananaliksik ng Infosec na ang LilithBot ay dumaan sa ilang mga pag-ulit sa panahon ng proseso ng pagbuo nito, na may mga utos na nasa mga naunang bersyon na inaalis sa mga susunod na paglabas. Gayunpaman, nagbabala ang mga mananaliksik na ang mga aktor ng pagbabanta ay maaari pa ring magsagawa ng mga inalis na pag-andar, ngunit sa isang mas patagong paraan.
Kapag na-activate sa nahawaang sistema, ang banta ay unang irerehistro ang sarili bilang isang bot. Susunod, ide-decrypt ng LilithBot ang sarili nito para i-drop ang configuration file nito sa device. Gumagamit ang malware ng sarili nitong mekanismo sa pag-decrypt sa pagtatangkang pigilan ang manual na pag-decryption. Ang bahagi ng magnanakaw ng banta ay nangangalap ng impormasyon na kinabibilangan ng kasaysayan ng browser, cookies, at personal na data, gaya ng mga larawan. Ang mga nakuhang file ay idinaragdag sa isang ZIP archive bago ipadala sa Command-and-Control (C2, C&C) server ng operasyon.
Gumagamit ang LilithBot ng mga pekeng sertipiko upang madagdagan ang pagkakataong manatiling hindi natukoy. Gayunpaman, ang mga natukoy na sertipiko ay lumilitaw na inisyu ng 'Microsoft Code Signing PCA 2011' ngunit kulang sa wastong pag-verify at countersignature.
