LilithBot
LilithBot — це нова загроза зловмисного програмного забезпечення з широким набором загрозливих функцій, яка пропонується в схемі MaaS (зловмисне програмне забезпечення як послуга). Загроза є частиною хакерських інструментів, які пропонує група загроз, що відстежується як Eternity (EternityTeam, Eternity Project). Кіберзлочинці діяли щонайменше з січня 2022 року та були пов’язані з російською «групою Jester Group». Подробиці про LilithBot та його розробників були розкриті громадськості у звіті дослідників кібербезпеки.
Згідно з їхніми висновками, LilithBot пропонується потенційним клієнтам-кіберзлочинцям через спеціальну групу Telegram, і його можна придбати, перейшовши за посиланням, що веде на веб-сайт, розміщений у мережі Tor. Сайт діє як домашня сторінка для продуктів хакерів Eternity, а найдорожчим інструментом є загроза програм-вимагачів.
Коли справа доходить до LilithBot, загрозою є складне шкідливе програмне забезпечення, яке поєднує в собі функції ботнету з функціями криптомайнера, кліпера та викрадача. Дослідники Infosec відзначають, що LilithBot пройшов кілька ітерацій під час процесу розробки, причому команди, присутні в попередніх версіях, були видалені в наступних випусках. Однак дослідники попереджають, що суб’єкти загрози все ще можуть виконувати видалені функції, але більш приховано.
При активації в зараженій системі загроза спочатку зареєструється як бот. Далі LilithBot розшифрує себе, щоб скинути файл конфігурації на пристрій. Зловмисне програмне забезпечення використовує власний механізм дешифрування, намагаючись запобігти розшифруванню вручну. Компонент злодійської загрози збирає інформацію, яка включає історію браузера, файли cookie та особисті дані, наприклад зображення. Отримані файли додаються до ZIP-архіву перед надсиланням на командно-контрольний (C2, C&C) сервер операції.
LilithBot використовує підроблені сертифікати, щоб збільшити свої шанси залишитися непоміченим. Однак ідентифіковані сертифікати, схоже, видані «Microsoft Code Signing PCA 2011», але не мають належної перевірки та контрпідпису.
