Lu0bot-Malware, eine faszinierende Bedrohung auf Node.JS

Cyberkriminelle verwenden verschiedene Strategien, um von den Systemen zu profitieren, die sie kompromittieren, oder von den Daten, die sie stehlen. Einige von ihnen verwenden es, um aufwändigere Angriffe auszuführen, während andere versuchen, sich so schnell wie möglich auszuzahlen. Letztere Art von Kriminellen verkauft häufig den Zugang zu infizierten Computern an den Meistbietenden weiter. Einer der beliebtesten Untergrunddienste für solche Käufe hat kürzlich eine neue, bisher unbekannte Malware freigesetzt. Es ist wichtig zu beachten, dass sich die Bedrohung, die als Lu0bot-Malware bezeichnet wird, möglicherweise noch in der Entwicklung befindet. Lange Abschnitte des Codes werden auskommentiert, wodurch sie nutzlos werden, und andere Teile enthalten lange Algorithmen zur Fehlerbehebung.

Der genaue Zweck der Lu0bot-Malware ist noch nicht klar – ihre flexible Struktur und Funktionalität kann es ihr ermöglichen, verschiedene Zwecke zu erfüllen. Die anfängliche Nutzlast ist eine sehr kleine Datei, die in C geschrieben ist, aber sie dient einem besonderen Zweck. Die Lu0bot-Malware installiert eine sehr alte Version des Node.JS-Frameworks (von 2016.) Node.JS ist ein JavaScript-Framework, das eine reichhaltige Bibliothek mit erweiterten Features und Funktionen einführt. Die Kriminellen verlassen sich auf Node.JS-Skripte, um bösartigen Code auf den von ihnen kompromittierten Systemen auszuführen. Deshalb ist die Installation des Frameworks die erste Stufe des Angriffs.

Lu0bot-Malware konzentriert sich vorerst auf die Datenerfassung

Sobald sie aktiv ist, kommt die komplexe Struktur der Lu0bot-Malware ins Spiel. Die Nutzlast enthält eine umfangreiche Bibliothek von Skripten, die Daten über den infizierten Computer sammeln sollen. Zu den Informationen, denen die Kriminellen nachgehen, gehören:

• Ausführen von Prozessen und Diensten.
• Inhalte von Ordnern wie Eigene Dateien, Desktop, Programmdateien und andere.
• Netzwerkkonfiguration.
• Liste der Hard- und Software.
• Angeschlossene Peripheriegeräte.

Der Netzwerkkanal, den die Lu0bot-Malware verwendet, ist ebenfalls zufällig. Anstatt sich auf die typische HTTP-Verbindung zu verlassen, kann die Nutzlast regelmäßig zwischen UDP und TCP wechseln. Die Verschlüsselung, die es verwendet, um seine Kommunikation und seinen Inhalt zu verschleiern, variiert ebenfalls stark. Einige Abschnitte des Codes von Lu0bot Malware basieren auf dem Blowfish-Algorithmus, während andere auf XOR, Diffie-Hellman und AES-128-CBC basieren. Dies macht die Dissektion und die Analyse der Nutzlast zu einer anspruchsvollen Aufgabe.

Zu guter Letzt kann Lu0bot Malware's in Echtzeit neuen Code von seinem Kontrollserver empfangen. Damit ist die Funktionalität der Lu0bot-Malware praktisch unbegrenzt – die Kriminellen können mit ihren Programmierkenntnissen so ziemlich jede Funktion implementieren, die sie nutzen möchten. Diese modulare Struktur macht Lu0bot Malware besonders gefährlich.

Bisher wurden die Nutzlasten der Lu0bot-Malware noch nicht vollständig waffenfähig gemacht, aber es ist eine Frage der Zeit, bis dies geschieht. Die Kriminellen hinter diesem Projekt sind offensichtlich sehr sachkundig und erfahren, sodass sich ihre Angriffe als ziemliches Problem herausstellen könnten. Ergreifen Sie die erforderlichen Maßnahmen, um Ihr Netzwerk und Ihr System durch den Einsatz aktueller Antiviren-Software zu sichern. Wenden Sie außerdem die neuesten Patches und Updates auf alle Soft- und Hardware an.