LilithBot

LilithBot ist eine neue Malware-Bedrohung mit einem umfangreichen Satz bedrohlicher Funktionen, die in einem MaaS-Schema (Malware-as-a-Service) angeboten wird. Die Bedrohung ist Teil der Hacker-Tools, die von einer als Eternity verfolgten Bedrohungsgruppe (EternityTeam, Eternity Project) angeboten werden. Die Cyberkriminellen sind mindestens seit Januar 2022 aktiv und mit der russischen „Jester Group“ in Verbindung gebracht worden. Details über LilithBot und seine Entwickler wurden der Öffentlichkeit in einem Bericht von Cybersicherheitsforschern enthüllt.

Ihren Erkenntnissen zufolge wird LilithBot potenziellen Cyberkriminellen über eine spezielle Telegram-Gruppe angeboten und kann über einen Link erworben werden, der zu einer im Tor-Netzwerk gehosteten Website führt. Die Seite fungiert als Homepage für die Produkte der Eternity-Hacker, wobei das teuerste Tool eine Ransomware-Bedrohung ist.

Bei LilithBot handelt es sich bei der Bedrohung um eine ausgeklügelte Malware, die die Funktionalität eines Botnetzes mit der eines Krypto-Miners, Clippers und Stealers kombiniert. Forscher von Infosec stellen fest, dass LilithBot während seines Entwicklungsprozesses mehrere Iterationen durchlaufen hat, wobei Befehle, die in früheren Versionen vorhanden waren, in späteren Versionen entfernt wurden. Die Forscher warnen jedoch davor, dass die Bedrohungsakteure die entfernten Funktionen möglicherweise immer noch ausführen, jedoch auf eine heimlichere Weise.

Bei Aktivierung auf dem infizierten System registriert sich die Bedrohung zunächst als Bot. Als nächstes entschlüsselt sich LilithBot selbst, um seine Konfigurationsdatei auf dem Gerät abzulegen. Die Malware verwendet einen eigenen Entschlüsselungsmechanismus, um zu verhindern, dass sie manuell entschlüsselt wird. Die Stealer-Komponente der Bedrohung sammelt Informationen, darunter Browserverlauf, Cookies und persönliche Daten wie Bilder. Die erhaltenen Dateien werden einem ZIP-Archiv hinzugefügt, bevor sie an den Command-and-Control-Server (C2, C&C) der Operation gesendet werden.

LilithBot verwendet gefälschte Zertifikate, um seine Chancen zu erhöhen, unentdeckt zu bleiben. Die identifizierten Zertifikate scheinen jedoch von „Microsoft Code Signing PCA 2011“ ausgestellt worden zu sein, es fehlt jedoch die ordnungsgemäße Verifizierung und Gegenzeichnung.