Lu0bot Malware, une menace intrigante basée sur Node.JS

Les cybercriminels utilisent différentes stratégies pour tirer profit des systèmes qu'ils compromettent ou des données qu'ils parviennent à voler. Certains d'entre eux l'utilisent pour exécuter des attaques plus élaborées, tandis que d'autres tentent d'encaisser le plus rapidement possible. Ce dernier type de criminels revend souvent l'accès aux machines infectées au plus offrant. L'un des services souterrains les plus populaires pour de tels achats a récemment déclenché un nouveau malware inédit. Il est important de noter que la menace, baptisée Lu0bot Malware, est peut-être encore en développement. De longues sections de son code sont commentées, ce qui les rend inutiles, et d'autres parties incluent de longs algorithmes de dépannage.

Le but exact du Lu0bot Malware n'est pas encore clair - sa structure et ses fonctionnalités flexibles peuvent lui permettre de remplir divers objectifs. La charge utile initiale est un très petit fichier écrit en C, mais il sert un objectif particulier. Le Lu0bot Malware installe une très ancienne version du framework Node.JS (à partir de 2016.) Node.JS est un framework JavaScript, qui introduit une riche bibliothèque de fonctionnalités et de fonctions améliorées. Les criminels s'appuient sur les scripts Node.JS pour exécuter du code malveillant sur les systèmes qu'ils compromettent, et c'est pourquoi l'installation du framework est la première étape de l'attaque.

Lu0bot Malware se concentre pour l'instant sur la collecte de données

Une fois actif, la structure complexe du Lu0bot Malware entre en jeu. La charge utile comprend une riche bibliothèque de scripts destinés à collecter des données sur la machine infectée. Les informations que les criminels recherchent comprennent :

• Exécution de processus et de services.
• Contenu de dossiers tels que Mes documents, Bureau, Fichiers de programme et autres.
• Configuration du réseau.
• Liste du matériel et des logiciels.
• Périphériques connectés.

Le canal réseau utilisé par Lu0bot Malware est également aléatoire. Au lieu de s'appuyer sur la connexion HTTP typique, la charge utile peut régulièrement basculer entre UDP et TCP. Le cryptage qu'il utilise pour brouiller sa communication et son contenu varie également beaucoup. Certaines sections du code de Lu0bot Malware reposent sur l'algorithme Blowfish, tandis que d'autres utilisent XOR, Diffie-Hellman et AES-128-CBC. Cela rend la dissection et l'analyse de la charge utile une tâche difficile.

Enfin et surtout, Lu0bot Malware est capable de recevoir le nouveau code de son serveur de contrôle en temps réel. Cela signifie que la fonctionnalité Lu0bot Malware est pratiquement illimitée - les criminels peuvent utiliser leurs connaissances en programmation pour implémenter à peu près n'importe quelle fonctionnalité qu'ils voudraient utiliser. Cette structure modulaire rend Lu0bot Malware extrêmement dangereux.

Jusqu'à présent, les charges utiles du Lu0bot Malware n'ont pas été complètement militarisées, mais ce n'est qu'une question de temps avant que cela ne se produise. Les criminels derrière ce projet sont clairement très bien informés et expérimentés, donc leurs attaques pourraient s'avérer être tout un problème. Prenez les mesures nécessaires pour sécuriser votre réseau et votre système à l'aide d'un logiciel antivirus à jour. En plus de cela, appliquez les derniers correctifs et mises à jour à tous les logiciels et matériels.