Lu0bot Malware

Apesar de ter sido detectado pela comunidade infosec em fevereiro de 2021, uma peça peculiar de software malicioso continuou a ser um enigma com capacidades desconhecidas. Chamado de Malware Lu0bot, a ameaça foi observada em operação conectada ao vendedor de carga GCleaner (Garbage Cleaner). Em essência, o GCleaner atua como uma espécie de intermediário no cenário do crime cibernético. É uma das inúmeras entidades que comprometem os dispositivos, mas, em vez de escalar os próprios ataques, eles oferecem o acesso estabelecido ou as credenciais do usuário desviado para venda a outros grupos de hackers. Os clientes podem então explorar o acesso adquirido de acordo com suas necessidades mal-intencionadas.

Técnicas de Anti-Análise em Multicamadas

Muitas ameaças de malware são equipadas com contramedidas contra a análise. No entanto, o Malware Lu0bot parece estar em um nível totalmente diferente. Um pesquisador que opera sob o nome de Fumik0 tentou lançar alguma luz sobre o funcionamento interno da ameaça, divulgando um relatório detalhado.

Inicialmente, o Malware Lu0bot chega ao dispositivo visado como uma carga útil C/C ++ extremamente pequena com uma única função desenvolvida - para executar um código JavaScript de uma linha via WinExec (). O objetivo final é recuperar e iniciar um tempo de execução NodeJS. Depois de estabelecer o servidor Node.js no dispositivo violado, o Lu0bot ativa um código JavaScript complexo que oculta a principal funcionalidade da ameaça por vários meios. Por exemplo, a ameaça é capaz de alternar entre os protocolos UDP e TCP aleatoriamente, como o canal de comunicação escolhido com o servidor de comando e controle (C2, C&C). Além disso, a ameaça utiliza um amplo conjunto de algoritmos de criptografia para criptografar diferentes seções de sua base de código - XOR, AES-128-CBC, Diffie-Hellmann e Blowfish.

Estrutura Interna Dinâmica

Indiscutivelmente, a característica mais impressionante do Lu0bot é sua capacidade de ser ajustado pelo ator da ameaça dinamicamente. A ameaça pode receber classes e variáveis em tempo real de seu servidor C2. Essa estrutura dinâmica impede os pesquisadores de discernir a funcionalidade principal e, portanto, os objetivos do ator da ameaça. O que foi determinado até agora é que o Lu0bot é extremamente eficaz na coleta de detalhes do sistema e informações sobre os sistemas comprometidos. No entanto, esse comportamento é compartilhado entre a maioria das ameaças de malware modernas e não fornece informações sobre os objetivos do ator da ameaça em particular. Na verdade, a estrutura interna dinâmica da ameaça pode impedir os pesquisadores de discernir completamente os recursos completos do Lu0bot. A ameaça pode possuir funções de uma ampla gama de ameaças de malware - começando com um carregador simples, até um infostealer, backdoor ou poderoso Trojan de Acesso Remoto.