LilithBot

LilithBot est une nouvelle menace de malware avec un ensemble étendu de fonctionnalités menaçantes qui est proposé dans un schéma MaaS (Malware-as-a-Service). La menace fait partie des outils de piratage proposés par un groupe de menaces suivi sous le nom d'Eternity (EternityTeam, Eternity Project). Les cybercriminels sont actifs depuis au moins janvier 2022 et sont liés au «Jester Group» russe. Des détails sur LilithBot et ses développeurs ont été révélés au public dans un rapport de chercheurs en cybersécurité.

Selon leurs conclusions, LilithBot est proposé aux clients cybercriminels potentiels via un groupe Telegram dédié et peut être acheté en suivant un lien menant à un site Web hébergé sur le réseau Tor. Le site sert de page d'accueil pour les produits des pirates Eternity, l'outil le plus cher étant une menace de ransomware.

En ce qui concerne LilithBot, la menace est un malware sophistiqué qui combine les fonctionnalités d'un botnet avec celles d'un crypto-mineur, d'un clipper et d'un voleur. Les chercheurs d'Infosec notent que LilithBot a subi plusieurs itérations au cours de son processus de développement, les commandes présentes dans les versions antérieures étant supprimées dans les versions ultérieures. Cependant, les chercheurs avertissent que les acteurs de la menace peuvent toujours exécuter les fonctions supprimées, mais de manière plus furtive.

Lorsqu'elle est activée sur le système infecté, la menace s'enregistre d'abord en tant que bot. Ensuite, LilithBot va se décrypter pour déposer son fichier de configuration sur l'appareil. Le logiciel malveillant utilise son propre mécanisme de décryptage pour tenter d'empêcher le décryptage manuel. Le composant voleur de la menace rassemble des informations telles que l'historique du navigateur, les cookies et des données personnelles, telles que des images. Les fichiers obtenus sont ajoutés à une archive ZIP avant d'être envoyés au serveur Command-and-Control (C2, C&C) de l'opération.

LilithBot utilise de faux certificats pour augmenter ses chances de ne pas être détecté. Cependant, les certificats identifiés semblent être délivrés par "Microsoft Code Signing PCA 2011", mais manquent de la vérification et de la contre-signature appropriées.