Malware escrito em GoLang – uma tendência crescente

Houve um aumento de 2.000% no número de novos malwares escritos em GoLang desde 2017. Tanto os atores nacionais quanto os grupos de atores de ameaças não estatais são vistos ativamente adicionando Go ao seu conjunto de ferramentas.

Fazendo manchetes

A equipe BlackBerry Threat Research e Intelligence Spear encontrou o grupo de ransomware PYSA voltado para agências de saúde e escolas nos Estados Unidos, usando um novo RAT que eles apelidaram de ChaChi.

  • Escrito na linguagem Go, o malware está sendo aproveitado pelos criminosos para implantar ransomware.
  • Alegadamente, os agentes de ameaças estão se afastando do malware baseado em C e C ++ devido à agilidade e à facilidade de compilação de código entre plataformas oferecida pela GoLang.
  • Isso fornece a eles uma mão livre para direcionar o Windows, Mac e Linux a partir da mesma base de código.
  • Além disso, o FBI lançou recentemente um alerta rápido contra o aumento de ataques PYSA contra escolas do Reino Unido e dos Estados Unidos.

Sobre ChaChi

No início, ele tinha recursos de baixo nível, como obscurecimento insatisfatório e nenhum encaminhamento de porta e recursos de túnel DNS. Agora, ele pode ter um desempenho tão bom quanto outros RATs típicos; desde a criação de backdoor e roubo de dados até o tunelamento DNS, despejo de credenciais por meio do Windows Local Security Authority Subsystem Service (LSASS), enumeração de rede e movimentação lateral entre redes, entre outros.

Outro malware GoLang

De acordo com Intezer, detectar malware escrito em GoLang era uma ocorrência rara antes de 2019.

  • No final de maio, a Sophos relatou um novo ransomware, Epsilon Red , escrito na linguagem Go. Ele supostamente visava uma empresa sediada nos Estados Unidos no setor de hospitalidade e uma empresa de TI sediada na Índia, a Nucleus Software .
  • No ano passado, os desenvolvedores por trás do ransomware JSWorm mudaram a linguagem de programação do malware de C ++ para Golang.
  • Palo Alto encontrou cerca de 10.700 amostras exclusivas de malware escritas em GoLang, com 92% das amostras compiladas para o sistema operacional Windows.

Algumas das variedades de ransomware notórias escritas em Go incluem RobbinHood, Nefilim e EKANS. Grupos russos e chineses patrocinados pelo estado têm lançado exclusivamente malware baseado em GoLang . Zeboracy WellMess são dois malwares russos, enquanto Godlike12 e  Go Loader são malwares chineses que destacam essa tendência.

O resultado final

O uso de GoLang entre os autores de malware nos últimos tempos tem aumentado constantemente. As organizações são aconselhadas a educar seus funcionários sobre essas ameaças crescentes, ao mesmo tempo em que ficam atentos aos avisos divulgados por pesquisadores de segurança e agências de inteligência.

Fonte: https://cyware.com