Эксперты компании Sophos опубликовали отчет о ботнете Chalubo (ChaCha-Lua-bot), который объединяет в себе код Xor.DDoS и Mirai, а также использует интересные техники защиты от анализа. Так, авторы малвари шифруют оба ее основных компонента, используя Lua-скрипт и поточные шифры ChaCha.

По данным исследователей, еще в августе текущего года злоумышленники использовали три вредоносных компонента в своих атаках: загрузчик, основной бот и командный скрипт Lua. При этом бот был способен работать лишь на x86 архитектуре.

Но несколько недель назад преступники переключились на использование дропера Elknot, который теперь занимается доставкой Chalubo, а ранее был замечен в работе с ботнетом Elasticsearch. Более того, появились различные версии ботов для разных архитектур. То есть теперь Chalubo представляет опасность для 32-разрядных и 64-разрядных ARM, x86, x86_64, MIPS, MIPSEL и PowerPC. Исследователи считают, что это означает, что тестирование малвари закончено, и ее авторы готовы переходить к настоящим атакам. Малварь может применяться для организации DDoS-атак (DNS- UDP- и SYN-флуда).

В сентябре 2018 года малварь начала распространяться через брутфорс-атаки на SSH-серверы. Так, на примере собственного сервера-ловушки, исследователи Sophos позволили преступникам использовать учетные данные root:admin для проникновения в систему.

Эксперты пишут, что в настоящее время малварь уже заметно отличается от других похожих угроз. Chalubo не только использует многоуровневый подход, но и применяет шифрование, которое не так часто можно встретить в составе Linux-малвари. Так как основным способом распространения малвари пока является SSH-брутфорс, исследователи напоминают, что использовать учетные данные по умолчанию — это крайне скверная идея.