Lu0bot Malware, een intrigerende bedreiging gebouwd op Node.JS

Cybercriminelen gebruiken verschillende strategieën om te profiteren van de systemen die ze compromitteren of van de gegevens die ze weten te stelen. Sommigen van hen gebruiken het om uitgebreidere aanvallen uit te voeren, terwijl anderen proberen zo snel mogelijk uit te betalen. De laatste soort criminelen verkopen de toegang tot geïnfecteerde machines vaak door aan de hoogste bieder. Een van de meest populaire ondergrondse services voor dergelijke aankopen heeft onlangs een nieuwe, voorheen ongeziene malware ontketend. Het is belangrijk op te merken dat de dreiging, genaamd Lu0bot Malware, mogelijk nog in ontwikkeling is. Lange delen van de code worden becommentarieerd, waardoor ze onbruikbaar worden, en andere delen bevatten lange algoritmen voor het oplossen van problemen.

Het exacte doel van de Lu0bot-malware is nog niet duidelijk - dankzij de flexibele structuur en functionaliteit kan het verschillende doelen vervullen. De initiële payload is een heel klein bestand geschreven in C, maar het heeft een eigenaardig doel. De Lu0bot Malware installeert een zeer oude versie van het Node.JS-framework (vanaf 2016.) Node.JS is een JavaScript-framework, dat een rijke bibliotheek met verbeterde functies en functies introduceert. De criminelen vertrouwen op Node.JS-scripts om kwaadaardige code uit te voeren op de systemen die ze compromitteren, en daarom is de installatie van het framework de eerste fase van de aanval.

Lu0bot Malware richt zich voorlopig op gegevensverzameling

Eenmaal actief, komt de complexe structuur van de Lu0bot Malware in het spel. De payload bevat een rijke bibliotheek met scripts die bedoeld zijn om gegevens over de geïnfecteerde machine te verzamelen. De informatie waar de criminelen achteraan gaan, omvat:

• Lopende processen en diensten.
• Inhoud van mappen zoals Mijn documenten, Bureaublad, Programmabestanden en andere.
• Netwerk configuratie.
• Lijst met hard- en software.
• Bijgevoegde randapparatuur.

Het netwerkkanaal dat de Lu0bot Malware gebruikt, is ook willekeurig. In plaats van te vertrouwen op de typische HTTP-verbinding, kan de payload regelmatig wisselen tussen UDP en TCP. De codering die het gebruikt om de communicatie en inhoud te verdoezelen, varieert ook sterk. Sommige delen van de code van Lu0bot Malware zijn gebaseerd op het Blowfish-algoritme, terwijl andere delen met XOR, Diffie-Hellman en AES-128-CBC. Dit maakt de dissectie en de analyse van de payload een uitdagende taak.

Last but not least kan Lu0bot Malware's in realtime nieuwe code van zijn controleserver ontvangen. Dit betekent dat de functionaliteit van Lu0bot Malware vrijwel onbeperkt is - de criminelen kunnen hun programmeerkennis gebruiken om vrijwel elke functie te implementeren die ze zouden willen gebruiken. Deze modulaire structuur maakt Lu0bot Malware extra gevaarlijk.

Tot nu toe zijn de payloads van de Lu0bot Malware niet volledig bewapend, maar het is een kwestie van tijd voordat dit gebeurt. De criminelen achter dit project zijn duidelijk zeer goed geïnformeerd en ervaren, dus hun aanvallen kunnen een behoorlijk probleem blijken te zijn. Neem de nodige maatregelen om uw netwerk en systeem te beveiligen met behulp van up-to-date antivirussoftware. Pas daarnaast de nieuwste patches en updates toe op alle software en hardware.