Вредоносное ПО Lu0bot, интригующая угроза, созданная на Node.JS

Киберпреступники используют разные стратегии, чтобы получить прибыль от взломанных систем или данных, которые им удается украсть. Некоторые из них используют его для выполнения более сложных атак, а другие пытаются обналичить как можно скорее. Последний тип преступников часто перепродает доступ к зараженным машинам тому, кто больше заплатит. Один из самых популярных подпольных сервисов для таких покупок недавно распространил новое, ранее невиданное вредоносное ПО. Важно отметить, что угроза, получившая название Lu0bot Malware, может все еще находиться в разработке. Длинные части кода закомментированы, что делает их бесполезными, а другие части содержат длинные алгоритмы устранения неполадок.

Точное назначение Lu0bot Malware пока неясно - его гибкая структура и функциональность могут позволить ему выполнять различные задачи. Первоначальная полезная нагрузка - это очень маленький файл, написанный на C, но он служит особой цели. Lu0bot Malware устанавливает очень старую версию фреймворка Node.JS (с 2016 года). Node.JS - фреймворк JavaScript, который представляет богатую библиотеку расширенных возможностей и функций. Преступники полагаются на сценарии Node.JS для выполнения вредоносного кода в системах, которые они скомпрометируют, и поэтому установка фреймворка является первым этапом атаки.

Вредоносное ПО Lu0bot на данный момент сосредоточено на сборе данных

После активации в игру вступает сложная структура вредоносного ПО Lu0bot. Полезная нагрузка содержит обширную библиотеку сценариев, предназначенных для сбора данных о зараженной машине. Информация, которую преследуют преступники, включает:

• Запущенные процессы и сервисы.
• Содержимое таких папок, как « Мои документы», «Рабочий стол», «Программные файлы» и другие.
• Конфигурация сети.
• Список оборудования и программного обеспечения.
• Прикрепленная периферия.

Сетевой канал, который использует Lu0bot Malware, также случайный. Вместо того, чтобы полагаться на типичное HTTP-соединение, полезная нагрузка может регулярно переключаться между UDP и TCP. Шифрование, которое он использует для сокрытия информации и содержимого, также сильно различается. Некоторые разделы кода Lu0bot Malware полагаются на алгоритм Blowfish, в то время как другие используют XOR, Diffie-Hellman и AES-128-CBC. Это делает вскрытие и анализ полезной нагрузки сложной задачей.

И последнее, но не менее важное: Lu0bot Malware's может получать новый код со своего управляющего сервера в режиме реального времени. Это означает, что функциональность Lu0bot Malware практически безгранична - злоумышленники могут использовать свои знания программирования для реализации практически любой функции, которую они захотят использовать. Эта модульная структура делает Lu0bot Malware особенно опасным.

Пока что полезные нагрузки Lu0bot Malware не были полностью вооружены, но это вопрос времени. Преступники, стоящие за этим проектом, явно очень хорошо осведомлены и опытны, поэтому их атаки могут оказаться серьезной проблемой. Примите необходимые меры для защиты вашей сети и системы с помощью новейшего антивирусного программного обеспечения. В дополнение к этому примените последние исправления и обновления ко всему программному и аппаратному обеспечению.