LilithBot

LilithBot es una nueva amenaza de malware con un amplio conjunto de características amenazantes que se ofrece en un esquema MaaS (Malware-as-a-Service). La amenaza es parte de las herramientas de hackers que ofrece un grupo de amenazas rastreado como Eternity (EternityTeam, Eternity Project). Los ciberdelincuentes han estado activos desde al menos enero de 2022 y han sido vinculados al 'Jester Group' ruso. Los detalles sobre LilithBot y sus desarrolladores se revelaron al público en un informe de investigadores de ciberseguridad.

Según sus hallazgos, LilithBot se ofrece a posibles clientes ciberdelincuentes a través de un grupo dedicado de Telegram y se puede comprar siguiendo un enlace que conduce a un sitio web alojado en la red Tor. El sitio actúa como una página de inicio para los productos de los piratas informáticos de Eternity, y la herramienta más costosa es una amenaza de ransomware.

Cuando se trata de LilithBot, la amenaza es un malware sofisticado que combina la funcionalidad de una botnet con la de un criptominero, clipper y ladrón. Los investigadores de Infosec señalan que LilithBot ha pasado por varias iteraciones durante su proceso de desarrollo, y los comandos presentes en versiones anteriores se eliminaron en versiones posteriores. Sin embargo, los investigadores advierten que los actores de amenazas aún pueden realizar las funciones eliminadas, pero de una manera más sigilosa.

Cuando se activa en el sistema infectado, la amenaza primero se registra como un bot. A continuación, LilithBot se descifrará para colocar su archivo de configuración en el dispositivo. El malware utiliza su propio mecanismo de descifrado en un intento de evitar que se descifre manualmente. El componente de ladrón de la amenaza recopila información que incluye el historial del navegador, cookies y datos personales, como imágenes. Los archivos obtenidos se agregan a un archivo ZIP antes de ser enviados al servidor de Comando y Control (C2, C&C) de la operación.

LilithBot utiliza certificados falsos para aumentar sus posibilidades de pasar desapercibido. Sin embargo, los certificados identificados parecen haber sido emitidos por 'Microsoft Code Signing PCA 2011' pero carecen de la verificación y el refrendo adecuados.