Обнаружено первое вредоносное ПО для Linux, написанное на языке Lua

Исследователи компании MalwareMustDie! сообщили о ботнете из компьютеров, зараженных трояном LuaBot, написанном на скриптовом языке Lua. Данное семейство представляет собой наиболее новое вредоносное ПО для Linux, инфицирующее серверы и устройства «Интернета вещей».

В настоящее время предназначение ботнета точно не известно. В ходе анализа LuaBot эксперты MalwareMustDie! обнаружили код, ответственный за DDoS-атаки, однако о его функциональности говорить пока еще рано. LuaBot представляет собой исполняемый файл в формате ELF, заражающий встраиваемые устройства с процессорами на базе архитектуры ARM. По словам исследователей, ранее им не приходилось сталкиваться с написанном на Lua вредоносным ПО для Linux в формате ELF.

С помощью реверс-инжиниринга части кода трояна экспертам удалось обнаружить, что он подключается к C&C-серверу в Нидерландах, принадлежащему хостинг-провайдеру WorldStream.NL. Исследователи также нашли код, помеченный как «penetrate_sucuri». Вероятно, это указывает на способность LuaBot обходить межсетевой экран Sucuri Web Application Firewall, однако эксперты пока не провели соответствующие тестирования.

Как оказалось, автор LuaBot оставил послание для тех, кто попытается проанализировать код вредоноса: «Hi. Happy reversing, you can mail me: [адрес в доменной зоне .ru]» («Привет. Счастливого реверс-инжиниринга, вы можете написать мне: [адрес в доменной зоне .ru]»).

В настоящее время LuaBot находится на ранней стадии разработки. Впервые троян был обнаружен на прошлой неделе и не числится в VirusTotal.