Lu0bot Malware, en spännande hot byggd på Node.JS

Cyberbrottslingar använder olika strategier för att dra nytta av de system de kompromitterar eller av de data de lyckas stjäla. En del av dem använder den för att utföra mer detaljerade attacker, medan andra försöker ta ut pengar så snart som möjligt. Den senare typen av brottslingar säljer ofta åtkomst till infekterade maskiner till högst budgivare. En av de mest populära underjordiska tjänsterna för sådana inköp släppte nyligen ut en ny, tidigare osedd skadlig kod. Det är viktigt att notera att hotet, kallat Lu0bot Malware, fortfarande kan vara under utveckling. Långa delar av dess kod kommenteras, vilket gör dem värdelösa, och andra delar inkluderar långa felsökningsalgoritmer.

Det exakta syftet med Lu0bot Malware är ännu inte klart - dess flexibla struktur och funktionalitet kan göra det möjligt att uppfylla olika syften. Den ursprungliga nyttolasten är en mycket liten fil skriven i C, men den tjänar ett speciellt syfte. Lu0bot Malware installerar en mycket gammal version av Node.JS-ramverket (från 2016.) Node.JS är ett JavaScript-ramverk som introducerar ett rikt bibliotek med förbättrade funktioner och funktioner. Brottslingarna förlitar sig på Node.JS-skript för att utföra skadlig kod på de system de komprometterar, och det är därför installationen av ramverket är det första steget i attacken.

Lu0bot Malware fokuserar på datainsamling för nu

När den väl är aktiv kommer Lu0bot Malwares komplexa struktur att spela in. Nyttolasten har ett rikt bibliotek med skript som är avsedda att samla in data om den infekterade maskinen. Informationen som brottslingarna följer inkluderar:

• Kör processer och tjänster.
• Innehåll i mappar som Mina dokument, skrivbord, programfiler och andra.
• Nätverkskonfiguration.
• Lista över hårdvara och programvara.
• Bifogade kringutrustning.

Nätverkskanalen, som Lu0bot Malware använder, är också slumpmässig. Istället för att förlita sig på den typiska HTTP-anslutningen kan nyttolasten regelbundet växla mellan UDP och TCP. Krypteringen som används för att fördunkla kommunikationen och innehållet varierar också mycket. Några av avsnitten i Lu0bot Malwares kod är beroende av Blowfish-algoritmen, medan andra går med XOR, Diffie-Hellman och AES-128-CBC. Detta gör dissekering och analys av nyttolasten till en utmanande uppgift.

Sist men inte minst kan Lu0bot Malware ta emot ny kod från sin styrserver i realtid. Det betyder att Lu0bot Malware-funktionalitet är praktiskt taget obegränsad - brottslingarna kan använda sin programmeringskunskap för att implementera nästan alla funktioner de vill använda. Denna modulära struktur gör Lu0bot Malware extra farligt.

Hittills har Lu0bot Malwares nyttolaster inte beväpnats fullt ut, men det är en tidsfråga innan detta händer. Kriminella bakom detta projekt är uppenbarligen mycket kunniga och erfarna, så deras attacker kan visa sig vara ett ganska stort problem. Vidta nödvändiga åtgärder för att säkra ditt nätverk och system med hjälp av uppdaterad antivirusprogram. Utöver detta, använd de senaste korrigeringarna och uppdateringarna på all programvara och hårdvara.