Cosa c'è da sapere sul malware basato su Golang

Golang sta diventando il linguaggio di programmazione preferito da molti sviluppatori di malware. Secondo la società di sicurezza informatica Intezer, dal 2017 c'è stato un aumento di quasi il 2000% nel numero di ceppi di malware basati su Go trovati in natura.

Il numero di attacchi che utilizzano questo tipo di malware dovrebbe aumentare nei prossimi due anni. La cosa più allarmante è che stiamo vedendo molti autori di minacce che prendono di mira più sistemi operativi con ceppi da una singola base di codice Go.

Ecco tutto ciò che devi sapere su questa minaccia emergente.

Cos'è Golang?

Go (noto anche come Golang) è un linguaggio di programmazione open source ancora relativamente nuovo. È stato sviluppato da Robert Griesemer, Rob Pike e Ken Thompson di Google nel 2007, sebbene sia stato presentato ufficialmente al pubblico solo nel 2009.

È stato sviluppato come alternativa a C ++ e Java. L'obiettivo era creare qualcosa che fosse semplice da lavorare e facile da leggere per gli sviluppatori.

Relazionato: Impara la lingua di Android con questo corso di formazione per sviluppatori Google Go

Perché i criminali informatici usano Golang?

Oggi esistono migliaia di malware basati su Golang in circolazione. Sia le bande di hacker sponsorizzate dallo stato che quelle non sponsorizzate dallo stato lo hanno utilizzato per produrre una serie di ceppi tra cui Trojan ad accesso remoto (RAT), ladri, minatori di monete e botnet tra molti altri.

Ciò che rende questo tipo di malware ancora più potente è il modo in cui può colpire Windows, macOS e Linux utilizzando la stessa base di codice. Ciò significa che uno sviluppatore di malware può scrivere il codice una volta e quindi utilizzare questa singola base di codice per compilare i binari per più piattaforme. Utilizzando il collegamento statico, un codice scritto da uno sviluppatore per Linux può essere eseguito su Mac o Windows.

Abbiamo visto minatori crittografici basati su go che prendono di mira macchine Windows e Linux, nonché ladri di criptovalute multipiattaforma con app trojan che funzionano su dispositivi macOS, Windows e Linux.

A parte questa versatilità, anche le varietà scritte in Go hanno dimostrato di essere molto furtive.

Molti si sono infiltrati nei sistemi senza essere rilevati principalmente perché il malware scritto in Go è di grandi dimensioni. Anche a causa del collegamento statico, i binari in Go sono relativamente più grandi rispetto a quelli di altri linguaggi. Molti servizi software antivirus non sono attrezzati per eseguire la scansione di file così ingombranti.

Inoltre, è più difficile per la maggior parte degli antivirus trovare codice sospetto in Go binary poiché hanno un aspetto molto diverso in un debugger rispetto ad altri scritti in linguaggi più tradizionali.

Non aiuta il fatto che le caratteristiche di questo linguaggio di programmazione rendano i binari di Go ancora più difficili da decodificare e analizzare.

Sebbene molti strumenti di reverse engineering siano ben attrezzati per analizzare i binari compilati da C o C ++, i binari basati su Go presentano ancora nuove sfide per i reverse engineer. Ciò ha mantenuto i tassi di rilevamento del malware Golang notevolmente bassi.

Varietà di malware basati su go e vettori di attacco

Prima del 2019, individuare malware scritto in Go poteva essere raro, ma negli ultimi anni c'è stato un costante aumento dei ceppi di malware basati su go.

Un ricercatore di malware ha trovato circa 10.700 ceppi di malware unici scritti in Go in the wild. I più diffusi di questi sono RAT e backdoor, ma negli ultimi mesi abbiamo anche visto una grande quantità di insidiosi ransomware scritti in Go.

ElectroRAT

Uno di questi ladri di informazioni scritto a Golang è l'ElectroRAT estremamente invadente. Sebbene ci siano molti di questi cattivi ladri di informazioni in giro, ciò che lo rende più insidioso è il modo in cui prende di mira più sistemi operativi.

La campagna ElectroRAT, scoperta a dicembre 2020, presenta malware multipiattaforma basato su Go che ha un arsenale di capacità viziose condivise dalla sua variante Linux, macOS e Windows.

Questo malware è in grado di creare keylogging, acquisire schermate, caricare file da dischi, scaricare file ed eseguire comandi oltre al suo obiettivo finale di svuotare i portafogli di criptovaluta.

Relazionato: Malware ElectroRAT che mira ai portafogli di criptovaluta

La vasta campagna che si ritiene sia rimasta inosservata per un anno ha coinvolto tattiche ancora più elaborate.

Quest'ultimo includeva la creazione di un sito Web fasullo e account di social media falsi, creando tre app separate infettate da trojan relative alla criptovaluta (ciascuna rivolto a Windows, Linux e macOS), promuovendo le app contaminate su forum crittografici e blockchain come Bitcoin Talk e attirando le vittime verso l'app trojan pagine web.

Una volta che un utente scarica e quindi esegue l'app, si apre una GUI mentre il malware si infiltra in background.

RobbinHood

Questo ransomware sinistro ha fatto notizia nel 2019 dopo aver paralizzato i sistemi informatici della città di Baltimora.

I criminali informatici dietro il ceppo Robbinhood hanno chiesto 76.000 dollari per decrittografare i file. I sistemi del governo sono stati resi offline e fuori servizio per quasi un mese e, secondo quanto riferito, la città ha speso i primi 4,6 milioni di dollari per recuperare i dati nei computer interessati.

I danni dovuti alla perdita di entrate potrebbero essere costati alla città di più, fino a 18 milioni di dollari secondo altre fonti.

Originariamente codificato nel linguaggio di programmazione Go, il ransomware Robbinhood crittografava i dati della vittima e poi aggiungeva ai nomi dei file compromessi l'estensione .Robbinhood. Quindi ha posizionato un file eseguibile e un file di testo sul desktop. Il file di testo era la richiesta di riscatto con le richieste degli aggressori.

Zebrocy

Nel 2020, l'operatore di malware Sofacy ha sviluppato una variante di Zebrocy scritta in Go.

Il ceppo si è mascherato come un documento di Microsoft Word ed è stato diffuso utilizzando le esche di phishing COVID-19. Funzionava come un downloader che raccoglieva i dati dal sistema dell'host infetto e poi li caricava sul server di comando e controllo.

Relazionato: Attenzione a queste 8 truffe informatiche COVID-19

L'arsenale di Zebrocy, composto da contagocce, backdoor e downloader, è in uso da molti anni. Ma la sua variante Go è stata scoperta solo nel 2019.

È stato sviluppato da gruppi criminali informatici sostenuti dallo stato e in precedenza ha preso di mira ministeri degli affari esteri, ambasciate e altre organizzazioni governative.

Altri malware Golang in arrivo in futuro

Il malware basato su go sta crescendo in popolarità e sta diventando continuamente il linguaggio di programmazione di riferimento per gli attori delle minacce. La sua capacità di colpire più piattaforme e rimanere inosservato per molto tempo lo rende una seria minaccia degna di attenzione.

Ciò significa che vale la pena sottolineare che è necessario prendere precauzioni di base contro il malware. Non fare clic su collegamenti sospetti e non scaricare allegati da e-mail o siti Web, anche se provengono da familiari e amici (che potrebbero essere già infetti).

La sicurezza informatica può tenere il passo? Il futuro di malware e antivirus

Il malware è in continua evoluzione, costringendo gli sviluppatori di antivirus a mantenere il passo. Il malware senza file, ad esempio, è essenzialmente invisibile, quindi come possiamo difenderci da esso?

Circa l'autore