Lu0bot Malware
A pesar de ser detectado por la comunidad infosec en febrero de 2021, una pieza peculiar de software malicioso sigue siendo un enigma con capacidades desconocidas. Denominado Lu0bot Malware, la amenaza se observó en funcionamiento conectado al vendedor de carga GCleaner (Garbage Cleaner). En esencia, GCleaner actúa como una especie de intermediario en el panorama del ciberdelito. Es una de las numerosas entidades que comprometen los dispositivos, pero, en lugar de intensificar los ataques en sí, ofrecen el acceso establecido o las credenciales de usuario malversadas para la venta a otros grupos de piratas informáticos. Los clientes pueden entonces explotar el acceso adquirido de acuerdo con sus necesidades mal intencionadas.
Técnicas de anti-análisis de múltiples capas
Muchas amenazas de malware están equipadas con contramedidas contra el análisis. Sin embargo, Lu0bot Malware parece estar en otro nivel. Un investigador que opera bajo el nombre de Fumik0_ ha intentado arrojar algo de luz sobre el funcionamiento interno de la amenaza mediante la publicación de un informe detallado.
Inicialmente, Lu0bot Malware llega al dispositivo objetivo como una carga útil C / C ++ extremadamente pequeña con una única función desarrollada: ejecutar un código JavaScript de una línea a través de WinExec (). El objetivo final es recuperar e iniciar un tiempo de ejecución de NodeJS. Después de establecer el servidor Node.js en el dispositivo violado, Lu0bot activa un código JavaScript complejo que oculta la funcionalidad principal de la amenaza a través de varios medios. Por ejemplo, la amenaza es capaz de cambiar entre los protocolos UDP y TCP de forma aleatoria, como canal de comunicación elegido con el servidor de Comando y Control (C2, C&C). Además, la amenaza utiliza un amplio conjunto de algoritmos de cifrado para cifrar diferentes secciones de su base de código: XOR, AES-128-CBC, Diffie-Hellmann y Blowfish.
Estructura interna dinámica
Podría decirse que la característica más impresionante de Lu0bot es su capacidad para ser ajustado dinámicamente por el actor de amenazas. La amenaza puede recibir clases y variables en tiempo real desde su servidor C2. Esta estructura dinámica evita que los investigadores disciernan la funcionalidad principal y, por lo tanto, los objetivos del actor de la amenaza. Lo que se ha determinado hasta ahora es que Lu0bot es extremadamente eficaz para recopilar detalles del sistema e información sobre los sistemas comprometidos. Sin embargo, este comportamiento se comparte entre la mayoría de las amenazas de malware modernas y no proporciona información sobre los objetivos del actor de la amenaza en particular. De hecho, la estructura interna dinámica de la amenaza podría evitar que los investigadores disciernen por completo las capacidades completas de Lu0bot. La amenaza podría poseer funciones desde una amplia gama de amenazas de malware, desde un cargador simple hasta un ladrón de información, una puerta trasera o un potente troyano de acceso remoto.
