Logiciel malveillant Lu0bot

Par CagedTech en Malware

Se traduisent par :

Bien qu'il ait été détecté par la communauté infosec en février 2021, un logiciel malveillant particulier reste une énigme aux capacités inconnues. Nommée Lu0bot Malware, la menace a été observée en fonctionnement connecté au vendeur de charge GCleaner (Garbage Cleaner). En substance, GCleaner agit comme une sorte d'intermédiaire dans le paysage de la cybercriminalité. C'est l'une des nombreuses entités qui compromettent les appareils, mais, au lieu d'intensifier les attaques elles-mêmes, elles proposent l'accès établi ou les informations d'identification d'utilisateur détournées à la vente à d'autres groupes de pirates. Les clients peuvent alors exploiter l'accès acquis en fonction de leurs besoins insensés.

Techniques d'anti-analyse multicouches

De nombreuses menaces de logiciels malveillants sont équipées de contre-mesures contre l'analyse. Cependant, le Lu0bot Malware semble être à un tout autre niveau. Un chercheur opérant sous le nom de Fumik0_ a tenté de faire la lumière sur le fonctionnement interne de la menace en publiant un rapport détaillé.

Initialement, le Lu0bot Malware arrive sur l'appareil ciblé sous la forme d'une charge utile C/C++ extrêmement petite avec une seule fonction développée - pour exécuter un code JavaScript d'une ligne via WinExec(). L'objectif final est de récupérer et de lancer un runtime NodeJS. Après avoir établi le serveur Node.js sur l'appareil violé, Lu0bot active un code JavaScript complexe qui masque la fonctionnalité principale de la menace par divers moyens. Par exemple, la menace est capable de basculer entre les protocoles UDP et TCP de manière aléatoire, en tant que canal de communication choisi avec le serveur Command-and-Control (C2, C&C). En outre, la menace utilise un large éventail d'algorithmes de cryptage pour crypter différentes sections de sa base de code - XOR, AES-128-CBC, Diffie-Hellmann et Blowfish.

Structure interne dynamique

La caractéristique la plus impressionnante de Lu0bot est sans doute sa capacité à être ajustée de manière dynamique par l'acteur de la menace. La menace peut recevoir des classes et des variables en temps réel de son serveur C2. Cette structure dynamique empêche les chercheurs de discerner la fonctionnalité principale et donc les objectifs de l'acteur de la menace. Ce qui a été déterminé jusqu'à présent, c'est que Lu0bot est extrêmement efficace pour collecter les détails du système et les informations sur les systèmes compromis. Cependant, ce comportement est partagé entre la plupart des menaces de logiciels malveillants modernes et ne fournit aucun aperçu des objectifs de l'acteur de la menace en particulier. En fait, la structure interne dynamique de la menace pourrait empêcher les chercheurs de discerner complètement toutes les capacités de Lu0bot. La menace pourrait posséder des fonctions allant d'un large éventail de menaces de logiciels malveillants - à commencer par un simple chargeur, un voleur d'informations, une porte dérobée ou un puissant cheval de Troie d'accès à distance.

Rechercher

Changer de région

Logiciel malveillant Lu0bot

Soumettre un Commentaire

Tendance

Safe Search Eng

MarioLocker Ransomware

MonWallPaper

Le plus regardé

Est-ce que Lookmovie.io est sûr ?

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran