Threat Database Malware Lu0bot Malware

Lu0bot Malware

Nonostante sia stato rilevato dalla comunità infosec nel febbraio 2021, un particolare software dannoso ha continuato a rimanere un enigma con capacità sconosciute. Chiamato Lu0bot Malware, la minaccia è stata osservata in funzione collegata al venditore di carichi GCleaner (Garbage Cleaner). In sostanza, GCleaner agisce come una sorta di intermediario nel panorama del crimine informatico. È una delle numerose entità che compromettono i dispositivi, ma, invece di intensificare gli attacchi stessi, offrono l'accesso stabilito o le credenziali utente sottratte per la vendita ad altri gruppi di hacker. I clienti possono quindi sfruttare l'accesso acquisito secondo le loro malintenzionate esigenze.

Tecniche anti-analisi multistrato

Molte minacce malware sono dotate di contromisure contro l'analisi. Tuttavia, il malware Lu0bot sembra essere di un altro livello. Un ricercatore che opera sotto il nome di Fumik0_ ha tentato di far luce sul funzionamento interno della minaccia rilasciando un rapporto dettagliato.

Inizialmente, il malware Lu0bot arriva sul dispositivo di destinazione come un payload C/C++ estremamente piccolo con un'unica funzione sviluppata, per eseguire un codice JavaScript di una riga tramite WinExec(). L'obiettivo finale è recuperare e avviare un runtime NodeJS. Dopo aver stabilito il server Node.js sul dispositivo violato, Lu0bot attiva un complesso codice JavaScript che nasconde le principali funzionalità della minaccia attraverso vari mezzi. Ad esempio, la minaccia è in grado di passare casualmente tra i protocolli UDP e TCP, come canale di comunicazione scelto con il server Command-and-Control (C2, C&C). Inoltre, la minaccia utilizza un ampio set di algoritmi di crittografia per crittografare diverse sezioni della sua base di codice: XOR, AES-128-CBC, Diffie-Hellmann e Blowfish.

Struttura interna dinamica

Probabilmente, la caratteristica più impressionante di Lu0bot è la sua capacità di essere regolata dinamicamente dall'attore della minaccia. La minaccia può ricevere classi e variabili in tempo reale dal suo server C2. Questa struttura dinamica impedisce ai ricercatori di discernere la funzionalità principale e quindi gli obiettivi dell'attore della minaccia. Ciò che è stato determinato finora è che Lu0bot è estremamente efficace nel raccogliere dettagli di sistema e informazioni sui sistemi compromessi. Tuttavia, questo comportamento è condiviso dalla maggior parte delle minacce malware moderne e non fornisce informazioni sugli obiettivi del particolare attore della minaccia. In effetti, la struttura interna dinamica della minaccia potrebbe impedire ai ricercatori di discernere completamente le piene capacità di Lu0bot. La minaccia potrebbe possedere funzioni da un'ampia gamma di minacce malware, a partire da un semplice caricatore, a un infostealer, backdoor o un potente Trojan di accesso remoto.

Tendenza

I più visti

Caricamento in corso...