Threat Database Malware Lu0bot Malware

Lu0bot Malware

Trots att det upptäcktes av infosec-samhället redan i februari 2021 har en märklig del av skadlig programvara fortsatt att förbli en gåta med okänd kapacitet. Med namnet Lu0bot Malware observerades hotet vid drift kopplad till GCleaner (Garbage Cleaner) lastsäljare. I grund och botten fungerar GCleaner som en slags mellanman i cyberbrottslandskapet. Det är en av de många enheter som äventyrar enheter, men i stället för att eskalera själva attackerna, erbjuder de etablerad åtkomst eller felaktiga användaruppgifter för försäljning till andra hackargrupper. Klienterna kan sedan utnyttja den förvärvade tillgången enligt deras illasinnade behov.

Flerskiktade anti-analystekniker

Många skadliga hot är utrustade med motåtgärder mot analys. Lu0bot Malware verkar dock vara på en helt annan nivå. En forskare som arbetar under namnet Fumik0_ har försökt att belysa hotets inre funktion genom att släppa en detaljerad rapport.

Inledningsvis anländer Lu0bot Malware till den riktade enheten som en extremt liten C / C ++ nyttolast med en enda utvecklad funktion - att köra en en-rads JavaScript-kod via WinExec (). Det slutliga målet är att hämta och initiera en NodeJS-körning. Efter att ha skapat Node.js-servern på den brutna enheten aktiverar Lu0bot en komplex JavaScript-kod som döljer hotets huvudfunktionalitet på olika sätt. Hotet kan till exempel växla mellan UDP- och TCP-protokollen slumpmässigt, som vald kommunikationskanal med Command-and-Control-servern (C2, C&C). Dessutom använder hotet ett stort antal krypteringsalgoritmer för att kryptera olika delar av dess kodbas - XOR, AES-128-CBC, Diffie-Hellmann och Blowfish.

Dynamisk intern struktur

Förmodligen är Lu0bots mest imponerande funktion dess förmåga att dynamiskt justeras av hotaktören. Hotet kan ta emot klasser och variabler i realtid från sin C2-server. Denna dynamiska struktur hindrar forskare från att urskilja huvudfunktionaliteten och därmed målen för hotaktören. Vad som hittills har fastställts är att Lu0bot är extremt effektivt för att samla in systeminformation och information om de komprometterade systemen. Detta beteende delas emellertid mellan de flesta moderna hot mot skadlig programvara och ger ingen inblick i målen för den specifika hotaktören. Faktum är att den dynamiska interna strukturen i hotet skulle kunna hindra forskare från att urskilja Lu0bots fulla kapacitet. Hotet kan innehålla funktioner från ett brett spektrum av hot mot skadlig programvara - från en enkel laddare till en infostealer, bakdörr eller potent fjärråtkomst Trojan.

Trendigt

Mest sedda

Läser in...