Lu0bot Malware, en spennende trussel bygget på Node.JS

Nettkriminelle bruker forskjellige strategier for å tjene på systemene de kompromitterer eller fra dataene de klarer å stjele. Noen av dem bruker den til å utføre mer omfattende angrep, mens andre prøver å ta ut penger så snart som mulig. Sistnevnte type kriminelle videreselger ofte tilgang til infiserte maskiner til høystbydende. En av de mest populære underjordiske tjenestene for slike kjøp slapp nylig løs en ny, tidligere usett skadelig programvare. Det er viktig å merke seg at trusselen, kalt Lu0bot Malware, fremdeles kan være i utvikling. Lange deler av koden er kommentert, noe som gjør dem ubrukelige, og andre deler inkluderer lange feilsøkingsalgoritmer.

Det eksakte formålet med Lu0bot Malware er ikke klart ennå - den fleksible strukturen og funksjonaliteten kan gjøre det mulig å oppfylle ulike formål. Den første nyttelasten er en veldig liten fil skrevet i C, men den tjener et særegent formål. Lu0bot Malware installerer en veldig gammel versjon av Node.JS-rammeverket (fra 2016.) Node.JS er et JavaScript-rammeverk som introduserer et rikt bibliotek med forbedrede funksjoner og funksjoner. Kriminelle stoler på Node.JS-skript for å utføre ondsinnet kode på systemene de kompromitterer, og det er derfor installasjonen av rammeverket er den første fasen av angrepet.

Lu0bot Malware fokuserer på datainnsamling for nå

Når den er aktiv, spiller Lu0bot Malwares komplekse struktur inn. Nyttelasten har et rikt bibliotek med skript som er ment å samle inn data om den infiserte maskinen. Informasjonen kriminelle går etter inkluderer:

• Kjører prosesser og tjenester.
• Innhold i mapper som My Documents, Desktop, Program Files og andre.
• Nettverkskonfigurasjon.
• Liste over maskinvare og programvare.
• Vedlagte periferiutstyr.

Nettverkskanalen, som Lu0bot Malware bruker, er også tilfeldig. I stedet for å stole på den typiske HTTP-tilkoblingen, kan nyttelasten bytte regelmessig mellom UDP og TCP. Krypteringen den bruker for å tilsløre kommunikasjonen og innholdet, varierer også mye. Noen av delene av Lu0bot Malwares kode er avhengige av Blowfish-algoritmen, mens andre følger med XOR, Diffie-Hellman og AES-128-CBC. Dette gjør disseksjonen og analysen av nyttelasten til en utfordrende oppgave.

Sist, men ikke minst, er Lu0bot Malware i stand til å motta ny kode fra sin kontrollserver i sanntid. Dette betyr at Lu0bot Malware-funksjonalitet er praktisk talt ubegrenset - de kriminelle kan bruke sin programmeringskunnskap til å implementere stort sett alle funksjoner de ønsker å bruke. Denne modulære strukturen gjør Lu0bot Malware ekstra farlig.

Så langt har Lu0bot Malwares nyttelaster ikke blitt våpen fullt ut, men det er et spørsmål om tid før dette skjer. Kriminelle bak dette prosjektet er tydeligvis svært kunnskapsrike og erfarne, så angrepene deres kan vise seg å være ganske problemet. Ta de nødvendige tiltakene for å sikre nettverket og systemet ditt ved hjelp av oppdatert antivirusprogramvare. I tillegg til dette, bruk de nyeste oppdateringene og oppdateringene på all programvare og maskinvare.