Threat Database Malware Lu0bot-Malware

Lu0bot-Malware

Obwohl eine eigenartige Schadsoftware bereits im Februar 2021 von der infosec-Community entdeckt wurde, ist sie weiterhin ein Rätsel mit unbekannten Fähigkeiten. Die als Lu0bot-Malware bezeichnete Bedrohung wurde im Betrieb in Verbindung mit dem Ladeverkäufer GCleaner (Garbage Cleaner) beobachtet. Im Wesentlichen fungiert GCleaner als eine Art Mittelsmann in der Cybercrime-Landschaft. Es ist eine der zahlreichen Einheiten, die Geräte kompromittieren, aber anstatt die Angriffe selbst zu eskalieren, bieten sie den etablierten Zugang oder die missbrauchten Benutzeranmeldeinformationen zum Verkauf an andere Hackergruppen an. Die Clients können dann den erworbenen Zugang nach ihren böswilligen Bedürfnissen nutzen.

Mehrschichtige Anti-Analyse-Techniken

Viele Malware-Bedrohungen sind mit Gegenmaßnahmen gegen die Analyse ausgestattet. Die Lu0bot-Malware scheint jedoch auf einer ganz anderen Ebene zu liegen. Ein Forscher, der unter dem Namen Fumik0_ tätig ist, hat versucht, durch die Veröffentlichung eines detaillierten Berichts etwas Licht in das Innenleben der Bedrohung zu bringen.

Zunächst erreicht die Lu0bot-Malware das Zielgerät als extrem kleine C/C++-Nutzlast mit einer einzigen entwickelten Funktion – um einen einzeiligen JavaScript-Code über WinExec() auszuführen. Das letzte Ziel besteht darin, eine NodeJS-Laufzeit abzurufen und zu initiieren. Nach dem Einrichten des Node.js-Servers auf dem angegriffenen Gerät aktiviert Lu0bot einen komplexen JavaScript-Code, der die Hauptfunktionalität der Bedrohung auf verschiedene Weise verbirgt. Die Bedrohung ist beispielsweise in der Lage, zufällig zwischen den Protokollen UDP und TCP als gewählten Kommunikationskanal mit dem Command-and-Control-Server (C2, C&C) umzuschalten. Darüber hinaus verwendet die Bedrohung eine Vielzahl von Verschlüsselungsalgorithmen, um verschiedene Abschnitte ihrer Codebasis zu verschlüsseln – XOR, AES-128-CBC, Diffie-Hellmann und Blowfish.

Dynamische interne Struktur

Das wohl beeindruckendste Merkmal von Lu0bot ist seine Fähigkeit, vom Bedrohungsakteur dynamisch angepasst zu werden. Die Bedrohung kann Klassen und Variablen in Echtzeit von ihrem C2-Server empfangen. Diese dynamische Struktur verhindert, dass Forscher die Hauptfunktionalität und damit die Ziele des Bedrohungsakteurs erkennen. Bisher wurde festgestellt, dass Lu0bot äußerst effektiv beim Sammeln von Systemdetails und Informationen über die kompromittierten Systeme ist. Dieses Verhalten wird jedoch von den meisten modernen Malware-Bedrohungen geteilt und bietet keinen Einblick in die Ziele des jeweiligen Bedrohungsakteurs. Tatsächlich könnte die dynamische interne Struktur der Bedrohung Forscher daran hindern, die vollen Fähigkeiten von Lu0bot vollständig zu erkennen. Die Bedrohung kann Funktionen von einer Vielzahl von Malware-Bedrohungen besitzen - angefangen bei einem einfachen Loader bis hin zu einem Infostealer, einer Hintertür oder einem mächtigen Remote-Access-Trojaner.

Im Trend

Am häufigsten gesehen

Wird geladen...