Misteriozni malver Node.js zbunjuje istraživače bezbednosti

Nedavno ispitivanje zlonamernog softvera, bacilo je malo svetla na njegovo unutrašnje delovanje.

PCPress.rs Image

Skoro četiri meseca nakon što je prvi put primećen, infosec zajednica i dalje zbunjena

Uprkos tome, još uvek nije otkrivena primarnu funkcionalnost Lu0bota. Zlonamerni softver je prvi put primećen u februaru 2021. godine, a instaliran je kao drugostepeni payload preko GCleaner-a, sumnjivog proizvođača softvera, za kojeg je viđeno da iznajmljuje pristup uređajima korisnika grupama zlonamernih programa.

Lu0bot započinje kao mali C/C ++ deo koda, ali preuzima i instalira Node.js server na zaraženim sistemima, a zatim koristi složeni skup višeslojnih JavaScript koda da sakrije njegovu svrhu i funkcionalnost. Neki od njegovih tehničkih hirova uključuju nasumično prebacivanje sa UDP-a na TCP i obrnuto kao svoj kanal za komandu i kontrolu komunikacije. Još jedna tehnička hirovitost je upotreba višestrukih i vrlo različitih algoritama za šifrovanje u celoj njegovoj bazi kodova, poput XOR, AES-128-CBC, Diffie-Hellman i Blowfish. Zlonamerni softver takođe može da prima klase i promenljive u realnom vremenu sa svog C&C servera, funkcije koja mu je pomogla da sakrije svoje pune mogućnosti.

Pročitajte i:  Otkriven „malware-as-a-service“ Mac napad 

Jedina funkcionalnost koja se primećuje u kodu je da Lu0bot vrlo dobro sakuplja podatke i informacije o zaraženim sistemima, ali ova vrsta ponašanja je danas prisutna u većini vrsta malvera. Dinamička unutrašnja struktura malvera znači da Lu0bot može biti bilo šta, od backdoor-a do trojanca sa udaljenim pristupom, ili od jednostavnog učitavača do uređaja za krađu informacija i da je konačni zaključak o tome za šta je Lu0bot dizajniran još uvek nije moguć.

Izvor: Therecord.media

 

Facebook komentari:
SBB

Tagovi: ,