I ricercatori di sicurezza hanno dettagliato una nuova, malware multifunzionale. Chiamato LilithBot, il malware è associato a Progetto Eternità gruppo di minaccia attivo almeno da gennaio 2022.
Un'altra aggiunta all'arsenale di malware dell'Eternity Project
L'attore della minaccia Eternity ha utilizzato un modello di distribuzione "as-a-service" per vendere i suoi moduli dannosi con il marchio nei forum sotterranei. I moduli offerti consentono agli hacker dilettanti di entrare in possesso di un ladro di informazioni, clipper, worm, criptovaluta minatore, ransomware, e un bot DDoS. È interessante notare che la campagna Eternity Project è stata scoperta dai ricercatori Cyble durante il loro "esercizio di routine di caccia alle minacce". I ricercatori si sono imbattuti in un sito Web Tor che elencava "una varietà di malware in vendita,” tutti marchiati con il nome “Eternity Project”.
Per quanto riguarda il LilithBot il malware, è stato scoperto dal team ThreatLabz di ZScaler mentre veniva distribuito tramite un gruppo Telegram e un collegamento Tor che fornisce "uno sportello unico per questi vari payload". “Oltre alla sua funzionalità botnet principale, aveva anche un ladro incorporato, clipper, e capacità minerarie. In questo blog, forniremo un'analisi approfondita della campagna LilithBot, compreso uno sguardo a diverse varianti,” il loro rapporto noto.
Il malware sembra essere in fase di sviluppo, poiché il gruppo continua a migliorare le proprie capacità aggiungendo miglioramenti, e.g. controlli anti-debug e anti-VM.
Come funziona LilithBot?
Primo, il malware si registra sul sistema e si decrittografa passo dopo passo, rilasciando il suo file di configurazione. Poi, utilizza vari tipi di campi come la chiave di licenza, chiave di codifica, e GUID che viene crittografato tramite AES e si decrittografa in fase di esecuzione.
Una volta attivato, procede rubando tutte le informazioni dal sistema preso di mira e caricandosi come file zip nel suo Command and Control.
L'emergere di un altro malware correlato all'Eternity Project è un segno che il gruppo di malware continua ad evolversi ed espandere i suoi servizi dannosi, rendendoli più sofisticati nel bypassare i rilevamenti.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: