Misteriozni malver Node.js zbunjuje istraživače bezbednosti

Nedavno ispitivanje zlonamernog softvera, bacilo je malo svetla na njegovo unutrašnje delovanje.

Skoro četiri meseca nakon što je prvi put primećen, infosec zajednica i dalje zbunjena

Uprkos tome, još uvek nije otkrivena primarnu funkcionalnost Lu0bota. Zlonamerni softver je prvi put primećen u februaru 2021. godine, a instaliran je kao drugostepeni payload preko GCleaner-a, sumnjivog proizvođača softvera, za kojeg je viđeno da iznajmljuje pristup uređajima korisnika grupama zlonamernih programa.

Lu0bot započinje kao mali C/C ++ deo koda, ali preuzima i instalira Node.js server na zaraženim sistemima, a zatim koristi složeni skup višeslojnih JavaScript koda da sakrije njegovu svrhu i funkcionalnost. Neki od njegovih tehničkih hirova uključuju nasumično prebacivanje sa UDP-a na TCP i obrnuto kao svoj kanal za komandu i kontrolu komunikacije. Još jedna tehnička hirovitost je upotreba višestrukih i vrlo različitih algoritama za šifrovanje u celoj njegovoj bazi kodova, poput XOR, AES-128-CBC, Diffie-Hellman i Blowfish. Zlonamerni softver takođe može da prima klase i promenljive u realnom vremenu sa svog C&C servera, funkcije koja mu je pomogla da sakrije svoje pune mogućnosti.

Jedina funkcionalnost koja se primećuje u kodu je da Lu0bot vrlo dobro sakuplja podatke i informacije o zaraženim sistemima, ali ova vrsta ponašanja je danas prisutna u većini vrsta malvera. Dinamička unutrašnja struktura malvera znači da Lu0bot može biti bilo šta, od backdoor-a do trojanca sa udaljenim pristupom, ili od jednostavnog učitavača do uređaja za krađu informacija i da je konačni zaključak o tome za šta je Lu0bot dizajniran još uvek nije moguć.

Izvor: Therecord.media