Lu0bot Malware, en spændende trussel bygget på Node.JS

Cyberkriminelle bruger forskellige strategier til at drage fordel af de systemer, de kompromitterer, eller fra de data, de formår at stjæle. Nogle af dem bruger det til at udføre mere detaljerede angreb, mens andre prøver at udbetale så hurtigt som muligt. Sidstnævnte type kriminelle videresælger ofte adgang til inficerede maskiner til højstbydende. En af de mest populære underjordiske tjenester til sådanne køb har for nylig frigivet en ny, tidligere uset malware. Det er vigtigt at bemærke, at truslen, kaldet Lu0bot Malware, muligvis stadig er under udvikling. Lange sektioner af koden kommenteres, hvilket gør dem ubrugelige, og andre dele inkluderer lange fejlfindingsalgoritmer.

Det nøjagtige formål med Lu0bot Malware er endnu ikke klart - dens fleksible struktur og funktionalitet kan muligvis gøre det muligt at opfylde forskellige formål. Den oprindelige nyttelast er en meget lille fil skrevet i C, men den tjener et særligt formål. Lu0bot Malware installerer en meget gammel version af Node.JS-rammen (fra 2016.) Node.JS er en JavaScript-ramme, der introducerer et rigt bibliotek med forbedrede funktioner og funktioner. Kriminelle stoler på Node.JS-scripts for at udføre ondsindet kode på de systemer, de kompromitterer, og det er derfor installationen af rammen er den første fase af angrebet.

Lu0bot Malware fokuserer på dataindsamling for nu

Når den er aktiv, kommer Lu0bot Malwares komplekse struktur i spil. Nyttelasten har et rigt bibliotek med scripts, der er beregnet til at indsamle data om den inficerede maskine. De oplysninger, som de kriminelle følger, inkluderer:

• Kører processer og tjenester.
• Indhold i mapper som My Documents, Desktop, Program Files og andre.
• Netværkskonfiguration.
• Liste over hardware og software.
• Vedhæftede perifere enheder.

Netværkskanalen, som Lu0bot Malware bruger, er også tilfældig. I stedet for at stole på den typiske HTTP-forbindelse, kan nyttelasten regelmæssigt skifte mellem UDP og TCP. Den kryptering, den bruger til at tilsløre kommunikationen og indholdet, varierer også meget. Nogle af sektionerne i Lu0bot Malwares kode er afhængige af Blowfish-algoritmen, mens andre går med XOR, Diffie-Hellman og AES-128-CBC. Dette gør dissekering og analyse af nyttelasten til en udfordrende opgave.

Sidst men ikke mindst er Lu0bot Malware i stand til at modtage ny kode fra sin kontrolserver i realtid. Dette betyder, at Lu0bot Malware-funktionalitet er næsten ubegrænset - de kriminelle kan bruge deres programmeringsviden til at implementere stort set enhver funktion, de ønsker at bruge. Denne modulære struktur gør Lu0bot Malware ekstra farlig.

Indtil videre er Lu0bot Malwares nyttelast ikke fuldt bevæbnet, men det er et spørgsmål om tid, før dette sker. Kriminelle bag dette projekt er helt klart meget kyndige og erfarne, så deres angreb kan vise sig at være et ganske problem. Tag de nødvendige foranstaltninger for at sikre dit netværk og dit system med brug af opdateret antivirussoftware. Ud over dette skal du anvende de nyeste programrettelser og opdateringer til al software og hardware.