Złośliwe oprogramowanie Lu0bot, intrygujące zagrożenie stworzone na Node.JS
Cyberprzestępcy stosują różne strategie, aby czerpać zyski z systemów, które kompromitują lub z danych, które udaje im się ukraść. Niektórzy z nich używają go do wykonywania bardziej skomplikowanych ataków, podczas gdy inni starają się jak najszybciej wypłacić pieniądze. Ten ostatni typ przestępców często odsprzedaje dostęp do zainfekowanych maszyn osobie, która zaoferuje najwyższą cenę. Jedna z najpopularniejszych podziemnych usług zajmujących się takimi zakupami wypuściła niedawno nowe, wcześniej niespotykane złośliwe oprogramowanie. Należy zauważyć, że zagrożenie, nazwane złośliwym oprogramowaniem Lu0bot, może nadal być w fazie rozwoju. Długie sekcje kodu są wykomentowane, czyniąc je bezużytecznymi, a inne części zawierają długie algorytmy rozwiązywania problemów.
Dokładny cel Lu0bot Malware nie jest jeszcze jasny – jego elastyczna struktura i funkcjonalność może pozwolić mu spełniać różne cele. Początkowy ładunek jest bardzo małym plikiem napisanym w C, ale służy do specyficznego celu. Lu0bot Malware instaluje bardzo starą wersję frameworka Node.JS (od 2016 r.). Node.JS to framework JavaScript, który wprowadza bogatą bibliotekę ulepszonych funkcji i funkcji. Przestępcy polegają na skryptach Node.JS w celu wykonania złośliwego kodu na zhakowanych przez siebie systemach, dlatego instalacja frameworka jest pierwszym etapem ataku.
Złośliwe oprogramowanie Lu0bot koncentruje się na teraz na gromadzeniu danych
Po aktywacji w grę wchodzi złożona struktura złośliwego oprogramowania Lu0bot. Ładunek zawiera bogatą bibliotekę skryptów przeznaczonych do zbierania danych o zainfekowanej maszynie. Informacje, za którymi kierują się przestępcy, obejmują:
- Uruchamianie procesów i usług.
- Zawartość folderów, takich jak Moje dokumenty, Pulpit, Pliki programów i inne.
- Konfiguracja sieci.
- Lista sprzętu i oprogramowania.
- Dołączone urządzenia peryferyjne.
Kanał sieciowy, z którego korzysta Lu0bot Malware, jest również losowy. Zamiast polegać na typowym połączeniu HTTP, ładunek może regularnie przełączać się między UDP i TCP. Szyfrowanie, którego używa do zaciemniania komunikacji i treści, również bardzo się różni. Niektóre sekcje kodu Lu0bot Malware opierają się na algorytmie Blowfish, podczas gdy inne opierają się na XOR, Diffie-Hellman i AES-128-CBC. To sprawia, że sekcja i analiza ładunku jest trudnym zadaniem.
Wreszcie, Lu0bot Malware jest w stanie odbierać nowy kod ze swojego serwera kontrolnego w czasie rzeczywistym. Oznacza to, że funkcjonalność Lu0bot Malware jest praktycznie nieograniczona – przestępcy mogą wykorzystać swoją wiedzę programistyczną do wdrożenia praktycznie każdej funkcji, z której chcieliby skorzystać. Ta modułowa struktura sprawia, że złośliwe oprogramowanie Lu0bot jest wyjątkowo niebezpieczne.
Jak dotąd, ładunki złośliwego oprogramowania Lu0bot nie zostały w pełni uzbrojone, ale jest to kwestia czasu, zanim to się stanie. Przestępcy stojący za tym projektem są wyraźnie bardzo kompetentni i doświadczeni, więc ich ataki mogą okazać się sporym problemem. Podejmij niezbędne środki, aby zabezpieczyć swoją sieć i system przy użyciu aktualnego oprogramowania antywirusowego. Oprócz tego zastosuj najnowsze poprawki i aktualizacje do całego oprogramowania i sprzętu.