Даже спустя четыре месяца после первого появления Lu0bot — нового семейства вредоносных программ — сообщество специалистов в области кибербезопасности до сих пор пытается выяснить, для чего этот зловред был создан, какова его основная задача.
Исследователь, действующий под онлайн-псевдонимом Fumik0_, углубился в изучение таинственного вредоноса и представил несколько выводов.
Впервые Lu0bot попался экспертам в феврале 2021 года, тогда он выступал в качестве пейлоада второй стадии в атаках GCleaner. Если кто не знает, GCleaner — разработчик сомнительного софта, который продаёт киберпреступникам доступ к компьютерам пользователей.
Lu0bot представляет собой маленький кусок кода на C/C++, он загружает и устанавливает в заражённые системы сервер Node.js, а затем использует сложный многослойный JavaScript-код, чтобы запутать исследователей и скрыть свои истинные цели.
Помимо этого, Lu0bot прибегает к помощи множества самых разных алгоритмов шифрования: XOR, AES-128-CBC, Diffie-Hellman и Blowfish. Вредонос также случайным образом переключается между UDP и TCP.
Одно специалисты выяснили точно — Lu0bot отлично собирает данные жертвы и информацию о заражённой системе. Однако такую функциональность можно встретить у многих вредоносных программ. Как отметил Fumik0_, Lu0bot может быть чем угодно — от бэкдора до трояна, открывающего удалённый доступ.