Lu0bot Malware, una amenaza intrigante basada en Node.JS

Los ciberdelincuentes utilizan diferentes estrategias para sacar provecho de los sistemas que comprometen o de los datos que logran robar. Algunos de ellos lo usan para ejecutar ataques más elaborados, mientras que otros intentan cobrar lo antes posible. El último tipo de delincuentes a menudo revende el acceso a las máquinas infectadas al mejor postor. Uno de los servicios clandestinos más populares para este tipo de compras lanzó recientemente un nuevo malware nunca antes visto. Es importante tener en cuenta que la amenaza, denominada Lu0bot Malware, podría estar todavía en desarrollo. Se comentan largas secciones de su código, lo que las vuelve inútiles, y otras partes incluyen largos algoritmos de resolución de problemas.

El propósito exacto del Lu0bot Malware aún no está claro: su estructura y funcionalidad flexibles pueden permitirle cumplir varios propósitos. La carga útil inicial es un archivo muy pequeño escrito en C, pero tiene un propósito peculiar. Lu0bot Malware instala una versión muy antigua del marco Node.JS (de 2016). Node.JS es un marco JavaScript, que presenta una rica biblioteca de características y funciones mejoradas. Los delincuentes confían en los scripts de Node.JS para ejecutar código malicioso en los sistemas que comprometen, y es por eso que la instalación del marco es la primera etapa del ataque.

Lu0bot Malware se centra en la recopilación de datos por ahora

Una vez activo, entra en juego la compleja estructura de Lu0bot Malware. La carga útil presenta una rica biblioteca de scripts destinados a recopilar datos sobre la máquina infectada. La información que persiguen los delincuentes incluye:

• Ejecución de procesos y servicios.
• Contenido de carpetas como Mis documentos, Escritorio, Archivos de programa y otros.
• Configuración de la red.
• Lista de hardware y software.
• Periféricos adjuntos.

El canal de red que utiliza Lu0bot Malware también es aleatorio. En lugar de depender de la conexión HTTP típica, la carga útil puede cambiar regularmente entre UDP y TCP. El cifrado que utiliza para ofuscar su comunicación y contenidos también varía mucho. Algunas de las secciones del código de Lu0bot Malware se basan en el algoritmo Blowfish, mientras que otras van con XOR, Diffie-Hellman y AES-128-CBC. Esto hace que la disección y el análisis de la carga útil sean una tarea desafiante.

Por último, pero no menos importante, Lu0bot Malware puede recibir código nuevo de su servidor de control en tiempo real. Esto significa que la funcionalidad de Lu0bot Malware es prácticamente ilimitada: los delincuentes pueden usar su conocimiento de programación para implementar prácticamente cualquier característica que deseen usar. Esta estructura modular hace que Lu0bot Malware sea más peligroso.

Hasta ahora, las cargas útiles de Lu0bot Malware no se han armado por completo, pero es cuestión de tiempo antes de que esto suceda. Los criminales detrás de este proyecto son claramente muy conocedores y experimentados, por lo que sus ataques podrían convertirse en un gran problema. Tome las medidas necesarias para proteger su red y sistema con el uso de software antivirus actualizado. Además de esto, aplique los últimos parches y actualizaciones a todo el software y hardware.