Ce trebuie să știți despre programele malware bazate pe Golang

Golang devine limbajul de programare preferat de mulți dezvoltatori de programe malware. Potrivit firmei de securitate cibernetică Intezer, a existat o creștere de aproape 2000 la sută a numărului de tulpini de malware bazate pe Go găsite în sălbăticie din 2017.

Se așteaptă ca numărul atacurilor care utilizează acest tip de malware să crească în următorii câțiva ani. Ceea ce este cel mai alarmant este că vedem mulți actori de amenințare care vizează mai multe sisteme de operare cu tulpini dintr-o singură bază de cod Go.

Iată tot ce trebuie să știți despre această amenințare emergentă.

Ce este Golang?

Go (alias Golang) este un limbaj de programare open-source care este încă relativ nou. A fost dezvoltat de Robert Griesemer, Rob Pike și Ken Thompson la Google în 2007, deși a fost prezentat oficial abia în 2009.

A fost dezvoltat ca o alternativă la C ++ și Java. Scopul a fost de a crea ceva care să funcționeze simplu și ușor de citit pentru dezvoltatori.

Legate de: Aflați limba Android cu acest training Google Go pentru dezvoltatori

De ce infractorii cibernetici folosesc Golang?

Astăzi există mii de programe malware bazate pe Golang. Atât bandele de hacking sponsorizate de stat, cât și cele ne-sponsorizate de stat au folosit-o pentru a produce o serie de tulpini, inclusiv troieni cu acces la distanță (RAT), fură, mineri de monede și rețele bot, printre multe altele.

Ceea ce face ca acest tip de malware să fie mai puternic este modul în care poate viza Windows, macOS și Linux folosind aceeași bază de coduri. Aceasta înseamnă că un dezvoltator de programe malware poate scrie cod o singură dată și apoi poate utiliza această bază de cod unic pentru a compila binare pentru mai multe platforme. Folosind legarea statică, un cod scris de un dezvoltator pentru Linux poate rula pe Mac sau Windows.

Am văzut mineri de criptare bazate pe go, care vizează atât mașinile Windows, cât și Linux, precum și furturile de criptocurrency multi-platformă cu aplicații troiene care rulează pe dispozitive MacOS, Windows și Linux.

În afară de această versatilitate, tulpinile scrise în Go s-au dovedit a fi foarte sigure.

Mulți au sisteme infiltrate fără detectare, în principal deoarece malware-ul scris în Go este mare. De asemenea, datorită legăturii statice, binarele din Go sunt relativ mai mari comparativ cu cele din alte limbi. Multe servicii software antivirus nu sunt echipate pentru a scana fișiere atât de voluminoase.

Mai mult, este mai greu pentru majoritatea antivirusurilor să găsească cod suspect în binarul Go, deoarece acestea arată mult diferit sub un depanator în comparație cu altele scrise în limbi mai obișnuite.

Nu ajută faptul că caracteristicile acestui limbaj de programare fac ca binele Go să fie și mai greu de realizat și de analizat.

În timp ce multe instrumente de inginerie inversă sunt bine echipate pentru a analiza binarele compilate din C sau C ++, binarele bazate pe Go prezintă în continuare noi provocări pentru inginerii de inversare. Acest lucru a menținut ratele de detectare a malware-ului Golang în mod scăzut.

Tulpini de malware bazate pe Go și vectori de atac

Înainte de 2019, identificarea malware-ului scris în Go ar fi putut fi rară, dar în ultimii ani a existat o creștere constantă a tulpinilor de malware urât bazate pe go.

Un cercetător malware a găsit în jur de 10.700 de tulpini de malware unice scrise în Go in the wild. Cele mai răspândite dintre acestea sunt RAT-urile și ușile din spate, dar în ultimele luni am văzut, de asemenea, o mulțime de ransomware insidioase scrise în Go.

ElectroRAT

Un astfel de info-stealer scris în Golang este ElectroRAT extrem de intruziv. Deși există multe dintre aceste furturi de informații urâte în jur, ceea ce îl face mai insidios este modul în care vizează mai multe sisteme de operare.

Campania ElectroRAT, descoperită în decembrie 2020, prezintă programe malware bazate pe Go pe mai multe platforme, care au un arsenal de capabilități vicioase partajate de variantele sale Linux, macOS și Windows.

Acest malware este capabil să înregistreze chei, să facă capturi de ecran, să încarce fișiere de pe discuri, să descarce fișiere și să execute comenzi, în afară de obiectivul său final de golire a portofelelor criptomonede.

Legate de: ElectroRAT Malware Targeting Cryptocurrency Wallets

Campania extinsă despre care se crede că a rămas nedetectată timp de un an a implicat tactici și mai elaborate.

Acesta din urmă a inclus crearea unui site web fals și a conturilor de socializare false, crearea a trei aplicații separate infectate cu troieni legate de criptomonede (fiecare care vizează Windows, Linux și macOS), promovarea aplicațiilor contaminate pe forumurile de criptare și blockchain precum Bitcoin Talk și atragerea victimelor către aplicația troianizată pagini web.

Odată ce un utilizator descarcă și apoi rulează aplicația, se deschide o interfață grafică în timp ce malware-ul se infiltrează în fundal.

RobbinHood

Acest ransomware sinistru a apărut în anul 2019 după ce a paralizat sistemele informatice ale orașului Baltimore.

Infractorii cibernetici din spatele tulpinii Robbinhood au cerut 76.000 de dolari pentru decriptarea dosarelor. Sistemele guvernamentale au fost redate offline și scoase din funcțiune timp de aproape o lună, iar orașul ar fi cheltuit inițial 4,6 milioane de dolari pentru a recupera datele de pe computerele afectate.

Este posibil ca daunele cauzate de pierderea veniturilor să fi costat orașul mai mult - până la 18 milioane de dolari, conform altor surse.

Codat inițial în limbajul de programare Go, ransomware-ul Robbinhood a criptat datele victimei și apoi a adăugat numele fișierelor fișierelor compromise cu extensia .Robbinhood. Apoi a plasat un fișier executabil și un fișier text pe desktop. Fișierul text a fost nota de răscumpărare cu solicitările atacatorilor.

Zebrocy

În 2020, operatorul malware Sofacy a dezvoltat o variantă Zebrocy scrisă în Go.

Tulpina sa mascat ca un document Microsoft Word și a fost răspândită folosind năluci de phishing COVID-19. A funcționat ca un program de descărcare care a colectat date de pe sistemul gazdei infectate și apoi a încărcat aceste date pe serverul de comandă și control.

Legate de: Atenție la aceste 8 escrocherii cibernetice COVID-19

Arsenalul Zebrocy, compus din picături, ușile din spate și dispozitivele de descărcare, este utilizat de mulți ani. Dar varianta Go a fost descoperită abia în 2019.

A fost dezvoltat de grupuri de criminalitate informatică susținute de stat și a vizat anterior ministere de externe, ambasade și alte organizații guvernamentale.

Mai multe programe malware Golang vor veni în viitor

Programele malware bazate pe Go cresc în popularitate și devin continuu limbajul de programare pentru actorii de amenințare. Capacitatea sa de a viza mai multe platforme și de a rămâne nedetectat pentru o lungă perioadă de timp îl face o amenințare serioasă demnă de atenție.

Asta înseamnă că merită subliniat faptul că trebuie să luați măsuri de precauție de bază împotriva malware-ului. Nu faceți clic pe linkuri suspecte și nu descărcați atașamente din e-mailuri sau site-uri web - chiar dacă provin de la familia și prietenii dvs. (care ar putea fi deja infectați).

Poate Cybersecurity să țină pasul? Viitorul programelor malware și antivirusului

Programele malware sunt în continuă evoluție, forțând dezvoltatorii de antivirus să mențină ritmul. De exemplu, malware-ul fără fișier este esențial invizibil - deci cum ne putem apăra împotriva acestuia?

Despre autor