Lu0bot Malware, μια συναρπαστική απειλή που βασίζεται στο Node.JS

Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν διαφορετικές στρατηγικές για να επωφεληθούν από τα συστήματα που συμβιβάζονται ή από τα δεδομένα που καταφέρνουν να κλέψουν. Μερικοί από αυτούς το χρησιμοποιούν για να εκτελέσουν πιο περίπλοκες επιθέσεις, ενώ άλλοι προσπαθούν να εξαργυρώσουν το συντομότερο δυνατό. Ο τελευταίος τύπος εγκληματιών μεταπωλεί συχνά την πρόσβαση σε μολυσμένα μηχανήματα στον υψηλότερο πλειοδότη. Μία από τις πιο δημοφιλείς υπόγειες υπηρεσίες για τέτοιες αγορές πρόσφατα απελευθέρωσε ένα νέο, προηγουμένως αόρατο κακόβουλο λογισμικό. Είναι σημαντικό να σημειωθεί ότι η απειλή, που ονομάστηκε Lu0bot Malware, ενδέχεται να βρίσκεται ακόμη σε εξέλιξη. Τα μεγάλα τμήματα του κώδικα σχολιάζονται, καθιστώντας τα άχρηστα και άλλα μέρη περιλαμβάνουν αλγόριθμους αντιμετώπισης προβλημάτων.

Ο ακριβής σκοπός του κακόβουλου λογισμικού Lu0bot δεν είναι ακόμη σαφής - η ευέλικτη δομή και η λειτουργικότητά του ενδέχεται να του επιτρέψουν να εκπληρώσει διάφορους σκοπούς. Το αρχικό ωφέλιμο φορτίο είναι ένα πολύ μικρό αρχείο γραμμένο σε C, αλλά εξυπηρετεί έναν ιδιαίτερο σκοπό. Το Lu0bot Malware εγκαθιστά μια πολύ παλιά έκδοση του πλαισίου Node.JS (από το 2016.) Το Node.JS είναι ένα πλαίσιο JavaScript, το οποίο εισάγει μια πλούσια βιβλιοθήκη βελτιωμένων λειτουργιών και λειτουργιών. Οι εγκληματίες βασίζονται σε σενάρια Node.JS για να εκτελέσουν κακόβουλο κώδικα στα συστήματα που συμβιβάζονται και γι 'αυτό η εγκατάσταση του πλαισίου είναι το πρώτο στάδιο της επίθεσης.

Το κακόβουλο λογισμικό Lu0bot εστιάζει στη συλλογή δεδομένων για τώρα

Μόλις ενεργοποιηθεί, η σύνθετη δομή του Lu0bot Malware μπαίνει στο παιχνίδι. Το ωφέλιμο φορτίο διαθέτει μια πλούσια βιβλιοθήκη σεναρίων που προορίζεται να συλλέξει δεδομένα σχετικά με τον μολυσμένο υπολογιστή. Οι πληροφορίες που ακολουθούν οι εγκληματίες περιλαμβάνουν:

• Τρέχουσες διαδικασίες και υπηρεσίες.
• Περιεχόμενα φακέλων όπως τα έγγραφά μου, η επιφάνεια εργασίας, τα αρχεία προγραμμάτων και άλλα.
• Διαμόρφωση δικτύου.
• Κατάλογος υλικού και λογισμικού.
• Συνημμένα περιφερειακά.

Το κανάλι δικτύου, το οποίο χρησιμοποιεί το Lu0bot Malware είναι επίσης τυχαίο. Αντί να βασίζεται στην τυπική σύνδεση HTTP, το ωφέλιμο φορτίο μπορεί να αλλάζει τακτικά μεταξύ UDP και TCP. Η κρυπτογράφηση που χρησιμοποιεί για να συγκαλύψει την επικοινωνία και το περιεχόμενό της ποικίλλει επίσης πολύ. Μερικές από τις ενότητες του κώδικα του Lu0bot Malware βασίζονται στον αλγόριθμο Blowfish, ενώ άλλες ακολουθούν τους XOR, Diffie-Hellman και AES-128-CBC. Αυτό καθιστά την ανατομή και την ανάλυση του ωφέλιμου φορτίου μια δύσκολη εργασία.

Τέλος, το Lu0bot Malware είναι σε θέση να λαμβάνει νέο κώδικα από τον διακομιστή ελέγχου σε πραγματικό χρόνο. Αυτό σημαίνει ότι η λειτουργικότητα του κακόβουλου λογισμικού Lu0bot είναι σχεδόν απεριόριστη - οι εγκληματίες μπορούν να χρησιμοποιήσουν τις γνώσεις προγραμματισμού τους για να εφαρμόσουν σχεδόν κάθε δυνατότητα που θα ήθελαν να χρησιμοποιήσουν. Αυτή η αρθρωτή δομή καθιστά το Lu0bot Malware εξαιρετικά επικίνδυνο.

Μέχρι στιγμής, το ωφέλιμο φορτίο του Lu0bot Malware δεν έχει οπλιστεί πλήρως, αλλά είναι θέμα χρόνου πριν συμβεί αυτό. Οι εγκληματίες πίσω από αυτό το έργο είναι σαφώς πολύ γνώστες και έμπειροι, έτσι οι επιθέσεις τους θα μπορούσαν να αποδειχθούν αρκετά το πρόβλημα. Λάβετε τα απαιτούμενα μέτρα για να ασφαλίσετε το δίκτυο και το σύστημά σας με τη χρήση ενημερωμένου λογισμικού προστασίας από ιούς. Εκτός από αυτό, εφαρμόστε τις πιο πρόσφατες ενημερώσεις κώδικα και ενημερώσεις σε όλο το λογισμικό και το υλικό.