LilithBot
LilithBot 是一种新的恶意软件威胁,具有一系列广泛的威胁功能,在 MaaS(恶意软件即服务)计划中提供。该威胁是跟踪为 Eternity(EternityTeam,Eternity Project)的威胁组织提供的黑客工具的一部分。这些网络犯罪分子至少从 2022 年 1 月开始就活跃起来,并且与俄罗斯的“小丑集团”有联系。网络安全研究人员在一份报告中向公众披露了有关 LilithBot 及其开发人员的详细信息。
根据他们的调查结果,LilithBot 正在通过一个专门的 Telegram 组提供给潜在的网络犯罪客户,并且可以通过指向 Tor 网络上托管的网站的链接进行购买。该网站充当 Eternity 黑客产品的主页,其中最昂贵的工具是勒索软件威胁。
对于 LilithBot,威胁是一种复杂的恶意软件,它将僵尸网络的功能与加密矿工、剪裁器和窃取器的功能相结合。 Infosec 研究人员指出,LilithBot 在其开发过程中经历了多次迭代,早期版本中存在的命令在以后的版本中被删除。然而,研究人员警告说,威胁参与者可能仍会执行已删除的功能,但会以更隐蔽的方式执行。
在受感染系统上激活时,威胁将首先将自己注册为机器人。接下来,LilithBot 将自行解密以将其配置文件放到设备上。该恶意软件使用自己的解密机制来防止被手动解密。威胁的窃取组件收集的信息包括浏览器历史记录、cookie 和个人数据,例如图片。获得的文件在发送到操作的命令和控制(C2、C&C)服务器之前被添加到 ZIP 存档中。
LilithBot 利用假证书来增加其未被发现的机会。但是,已识别的证书似乎是由“Microsoft Code Signing PCA 2011”颁发的,但缺乏适当的验证和会签。
