LilithBot
LilithBot, bir MaaS (Hizmet Olarak Kötü Amaçlı Yazılım) şemasında sunulan kapsamlı bir dizi tehdit edici özelliğe sahip yeni bir kötü amaçlı yazılım tehdididir. Tehdit, Eternity (EternityTeam, Eternity Project) olarak izlenen bir tehdit grubu tarafından sunulan hacker araçlarının bir parçasıdır. Siber suçlular en az Ocak 2022'den beri faaliyet gösteriyor ve Rus 'Jester Grubu' ile bağlantılı. LilithBot ve geliştiricileri hakkındaki ayrıntılar, siber güvenlik araştırmacıları tarafından hazırlanan bir raporda kamuoyuna açıklandı.
Bulgularına göre, LilithBot, özel bir Telegram grubu aracılığıyla potansiyel siber suçlu müşterilere sunuluyor ve Tor ağında barındırılan bir web sitesine giden bir bağlantı takip edilerek satın alınabiliyor. Site, Eternity bilgisayar korsanlarının ürünleri için bir ana sayfa görevi görür ve en pahalı araç bir fidye yazılımı tehdididir.
LilithBot söz konusu olduğunda, tehdit, bir botnet'in işlevselliğini bir kripto madenciliği, kesme makinesi ve hırsızın işlevselliği ile birleştiren karmaşık bir kötü amaçlı yazılımdır. Infosec araştırmacıları, LilithBot'un geliştirme sürecinde birkaç yinelemeden geçtiğini ve önceki sürümlerde bulunan komutların sonraki sürümlerde kaldırıldığını belirtiyor. Ancak araştırmacılar, tehdit aktörlerinin kaldırılan işlevleri yine de daha gizli bir şekilde yerine getirebileceği konusunda uyarıyor.
Virüs bulaşmış sistemde etkinleştirildiğinde, tehdit önce kendisini bir bot olarak kaydeder. Daha sonra, LilithBot, yapılandırma dosyasını cihaza bırakmak için kendi şifresini çözecektir. Kötü amaçlı yazılım, manuel olarak şifresinin çözülmesini önlemek için kendi şifre çözme mekanizmasını kullanır. Tehdidin hırsız bileşeni, tarayıcı geçmişi, tanımlama bilgileri ve resimler gibi kişisel verileri içeren bilgileri toplar. Elde edilen dosyalar, işlemin Komuta ve Kontrol (C2, C&C) sunucusuna gönderilmeden önce bir ZIP arşivine eklenir.
LilithBot, tespit edilmeme şansını artırmak için sahte sertifikalar kullanır. Ancak, tanımlanan sertifikalar 'Microsoft Code Signing PCA 2011' tarafından verilmiş gibi görünüyor, ancak uygun doğrulama ve karşı imzadan yoksun.
