Lu0bot Вредоносное ПО

Несмотря на то, что сообщество информационных систем было обнаружено еще в феврале 2021 года, своеобразное вредоносное ПО продолжает оставаться загадкой с неизвестными возможностями. Угроза, получившая название Lu0bot Malware, наблюдалась в работе, подключенной к продавцу загрузки GCleaner (Garbage Cleaner). По сути, GCleaner действует как своего рода посредник в сфере киберпреступности. Это одна из многочисленных организаций, которые взламывают устройства, но вместо того, чтобы наращивать атаки сами по себе, они предлагают установленный доступ или незаконно присвоенные учетные данные пользователя для продажи другим группам хакеров. Затем клиенты могут использовать полученный доступ в соответствии со своими недоброжелательными потребностями.

Многослойные методы антианализа

Многие вредоносные программы оснащены средствами противодействия анализу. Однако вредоносное ПО Lu0bot, похоже, находится на совершенно другом уровне. Исследователь, работающий под именем Fumik0_, попытался пролить свет на внутреннюю работу угрозы, выпустив подробный отчет.

Первоначально вредоносная программа Lu0bot попадает на целевое устройство в виде чрезвычайно небольшой полезной нагрузки C / C ++ с единственной разработанной функцией - для выполнения однострочного кода JavaScript через WinExec (). Конечная цель - получить и запустить среду выполнения NodeJS. После установки сервера Node.js на взломанном устройстве Lu0bot активирует сложный код JavaScript, который различными способами скрывает основные функции угрозы. Например, угроза может переключаться между протоколами UDP и TCP случайным образом в качестве выбранного канала связи с командно-административным сервером (C2, C&C). Кроме того, угроза использует широкий набор алгоритмов шифрования для шифрования различных частей своей кодовой базы - XOR, AES-128-CBC, Diffie-Hellmann и Blowfish.

Динамическая внутренняя структура

Пожалуй, наиболее впечатляющей особенностью Lu0bot является его способность динамически настраиваться злоумышленником. Угроза может получать классы и переменные в реальном времени со своего сервера C2. Эта динамическая структура не позволяет исследователям различать основные функции и, следовательно, цели злоумышленника. На данный момент установлено, что Lu0bot чрезвычайно эффективен при сборе системных деталей и информации о скомпрометированных системах. Однако такое поведение характерно для большинства современных вредоносных программ и не дает представления о целях конкретного злоумышленника. Фактически, динамическая внутренняя структура угрозы может помешать исследователям полностью раскрыть возможности Lu0bot. Угроза может обладать функциями широкого спектра вредоносных программ - начиная с простого загрузчика и заканчивая инфостилером, бэкдором или мощным троянцем удаленного доступа.