Malware Lu0bot, uma ameaça intrigante baseada no Node.JS

Os cibercriminosos usam estratégias diferentes para lucrar com os sistemas que comprometem ou com os dados que conseguem roubar. Alguns deles usam para executar ataques mais elaborados, enquanto outros tentam sacar o mais rápido possível. O último tipo de criminoso geralmente revende o acesso às máquinas infectadas pelo lance mais alto. Um dos serviços clandestinos mais populares para essas compras lançou recentemente um novo malware nunca antes visto. É importante observar que a ameaça, apelidada de Malware Lu0bot, pode ainda estar em desenvolvimento. Longas seções de seu código são comentadas, tornando-as inúteis, e outras partes incluem longos algoritmos de solução de problemas.

A finalidade exata do Malware Lu0bot ainda não está clara - sua estrutura flexível e funcionalidade podem permitir que cumpra várias finalidades. A carga inicial é um arquivo muito pequeno escrito em C, mas serve a um propósito peculiar. O Lu0bot Malware instala uma versão muito antiga da estrutura Node.JS (de 2016.) Node.JS é uma estrutura JavaScript, que apresenta uma rica biblioteca de recursos e funções aprimorados. Os criminosos contam com scripts Node.JS para executar códigos maliciosos nos sistemas que eles comprometem, e é por isso que a instalação do framework é o primeiro estágio do ataque.

Lu0bot Malware se concentra na coleta de dados por enquanto

Uma vez ativo, a estrutura complexa do Lu0bot Malware entra em ação. A carga útil apresenta uma rica biblioteca de scripts destinada a coletar dados sobre a máquina infectada. As informações que os criminosos buscam incluem:

• Processos e serviços em execução.
• Conteúdo de pastas como Meus Documentos, Área de Trabalho, Arquivos de Programas e outros.
• Configuração de rede.
• Lista de hardware e software.
• Periféricos conectados.

O canal de rede que o Malware Lu0bot usa também é aleatório. Em vez de depender da conexão HTTP típica, a carga útil pode alternar regularmente entre UDP e TCP. A criptografia que ele usa para ofuscar sua comunicação e conteúdo também varia muito. Algumas das seções do código do Malware Lu0bot contam com o algoritmo Blowfish, enquanto outras vão com XOR, Diffie-Hellman e AES-128-CBC. Isso torna a dissecção e a análise da carga útil uma tarefa desafiadora.

Por último, mas não menos importante, o Lu0bot Malware's é capaz de receber novos códigos de seu servidor de controle em tempo real. Isso significa que a funcionalidade do Lu0bot Malware é virtualmente ilimitada - os criminosos podem usar seu conhecimento de programação para implementar praticamente qualquer recurso que desejem usar. Esta estrutura modular torna o Lu0bot Malware extremamente perigoso.

Até agora, as cargas úteis do Malware Lu0bot não foram totalmente equipadas como arma, mas é uma questão de tempo antes que isso aconteça. Os criminosos por trás deste projeto são claramente muito bem informados e experientes, portanto, seus ataques podem revelar-se um grande problema. Tome as medidas necessárias para proteger sua rede e sistema com o uso de software antivírus atualizado. Além disso, aplique os patches e atualizações mais recentes a todos os softwares e hardwares.