Lu0bot Malware, una minaccia intrigante costruita su Node.JS

I criminali informatici utilizzano diverse strategie per trarre profitto dai sistemi che compromettono o dai dati che riescono a sottrarre. Alcuni di loro lo usano per eseguire attacchi più elaborati, mentre altri cercano di incassare il prima possibile. Quest'ultimo tipo di criminali spesso rivende l'accesso alle macchine infette al miglior offerente. Uno dei servizi sotterranei più popolari per tali acquisti ha recentemente rilasciato un nuovo malware mai visto prima. È importante notare che la minaccia, soprannominata Lu0bot Malware, potrebbe essere ancora in fase di sviluppo. Lunghe sezioni del suo codice sono commentate, rendendole inutili, e altre parti includono lunghi algoritmi di risoluzione dei problemi.

Lo scopo esatto del malware Lu0bot non è ancora chiaro: la sua struttura e funzionalità flessibili potrebbero consentirgli di soddisfare vari scopi. Il payload iniziale è un file molto piccolo scritto in C, ma ha uno scopo particolare. Il malware Lu0bot installa una versione molto vecchia del framework Node.JS (dal 2016.) Node.JS è un framework JavaScript, che introduce una ricca libreria di caratteristiche e funzioni avanzate. I criminali si affidano agli script Node.JS per eseguire codice dannoso sui sistemi che compromettono, ed è per questo che l'installazione del framework è la prima fase dell'attacco.

Lu0bot Malware si concentra sulla raccolta dei dati per ora

Una volta attivo, entra in gioco la complessa struttura del malware Lu0bot. Il payload presenta una ricca libreria di script destinati a raccogliere dati sulla macchina infetta. Le informazioni che i criminali cercano includono:

• Esecuzione di processi e servizi.
• Contenuti di cartelle come Documenti, Desktop, Programmi e altri.
• Configurazione di rete.
• Elenco di hardware e software.
• Periferiche collegate.

Anche il canale di rete utilizzato dal malware Lu0bot è casuale. Invece di fare affidamento sulla tipica connessione HTTP, il payload può passare regolarmente da UDP a TCP. Anche la crittografia che utilizza per offuscare la sua comunicazione e i suoi contenuti varia molto. Alcune delle sezioni del codice di Lu0bot Malware si basano sull'algoritmo Blowfish, mentre altre utilizzano XOR, Diffie-Hellman e AES-128-CBC. Ciò rende la dissezione e l'analisi del carico utile un compito impegnativo.

Ultimo ma non meno importante, Lu0bot Malware è in grado di ricevere nuovo codice dal suo server di controllo in tempo reale. Ciò significa che la funzionalità di Lu0bot Malware è praticamente illimitata: i criminali possono utilizzare le loro conoscenze di programmazione per implementare praticamente qualsiasi funzionalità che vorrebbero utilizzare. Questa struttura modulare rende Lu0bot Malware estremamente pericoloso.

Finora, i payload di Lu0bot Malware non sono stati completamente armati, ma è una questione di tempo prima che ciò accada. I criminali dietro questo progetto sono chiaramente molto informati ed esperti, quindi i loro attacchi potrebbero rivelarsi un vero problema. Prendi le misure necessarie per proteggere la tua rete e il tuo sistema con l'uso di un software antivirus aggiornato. Inoltre, applica le patch e gli aggiornamenti più recenti a tutto il software e l'hardware.