Ботнет из компьютеров, инфицированных троянской программой LuaBot, написанной на скриптовом языке Lua, обнаружен исследователями из MalwareMustDie!. Эта программа для Linux заражает серверы и IoT-устройства.
Эксперты из MalwareMustDie! провели анализ LuaBot и выявили код, который предназначен для организации DDoS-атак. LuaBot в виде исполняемого ELF-файла инфицирует встраиваемые устройства, которые снабжены процессорами на основе ARM. Как утверждают исследователи, до сих пор они не сталкивались с вредоносными программами для Linux, написанными на языке Lua и реализованными в виде ELF-файлов.
Используя реверс-инжиниринг фрагмента кода LuaBot, эксперты обнаружили, что троянская программа связывается с C&C-сервером в Нидерландах, который принадлежит хостинг-провайдеру WorldStream.NL. Кроме того, исследователями был найден код, который помечен как penetrate_sucuri. Возможно, эта отметка свидетельствует о способности LuaBot к обходу межсетевого экрана Sucuri Web Application Firewall, но эксперты пока не проверяли данную гипотезу.
Выяснилось, что разработчик LuaBot оставил сообщение для тех, кто попробует провести анализ кода вредоносной программы с указанием адреса электронного почтового ящика в доменной зоне .ru.