Wat u moet weten over op Golang gebaseerde malware

Golang wordt de programmeertaal bij uitstek voor veel malware-ontwikkelaars. Volgens cyberbeveiligingsbedrijf Intezer is er sinds 2017 een toename van bijna 2000 procent in het aantal op Go gebaseerde malwarestammen die in het wild worden aangetroffen.

Verwacht wordt dat het aantal aanvallen met dit type malware de komende jaren zal toenemen. Het meest verontrustende is dat we veel bedreigingsactoren zien die zich richten op meerdere besturingssystemen met spanningen van één enkele Go-codebase.

Hier is al het andere dat u moet weten over deze opkomende dreiging.

Wat is Golang?

Go (ook bekend als Golang) is een open-source programmeertaal die nog relatief nieuw is. Het werd in 2007 ontwikkeld door Robert Griesemer, Rob Pike en Ken Thompson bij Google, hoewel het pas in 2009 officieel aan het publiek werd voorgesteld.

Het is ontwikkeld als alternatief voor C ++ en Java. Het doel was om iets te maken dat eenvoudig is om mee te werken en gemakkelijk te lezen is voor ontwikkelaars.

Verwant: Leer de taal van Android met deze Google Go-ontwikkelaarstraining

Waarom gebruiken cybercriminelen Golang?

Er zijn tegenwoordig duizenden op Golang gebaseerde malware in het wild. Zowel door de staat gesponsorde als niet door de staat gesponsorde hackbendes hebben het gebruikt om een ​​groot aantal soorten te produceren, waaronder Remote Access Trojans (RAT's), stealers, muntmijnwerkers en botnets en vele anderen.

Wat dit type malware extra krachtig maakt, is de manier waarop het zich op Windows, macOS en Linux kan richten met dezelfde codebase. Dit betekent dat een malware-ontwikkelaar één keer code kan schrijven en vervolgens deze enkele codebasis kan gebruiken om binaire bestanden voor meerdere platforms te compileren. Met behulp van statische koppelingen kan een code die is geschreven door een ontwikkelaar voor Linux, worden uitgevoerd op Mac of Windows.

We hebben go-based crypto-miners gezien die zich richten op zowel Windows- als Linux-machines, evenals cryptocurrency-stealers op meerdere platforms met trojan-apps die worden uitgevoerd op macOS-, Windows- en Linux-apparaten.

Afgezien van deze veelzijdigheid, zijn de soorten die in Go geschreven zijn ook erg onopvallend gebleken.

Velen zijn systemen geïnfiltreerd zonder detectie, voornamelijk omdat malware die in Go is geschreven groot is. Mede door statische links zijn binaire bestanden in Go relatief groter in vergelijking met die in andere talen. Veel antivirussoftwareservices zijn niet uitgerust om dergelijke omvangrijke bestanden te scannen.

Bovendien is het voor de meeste antivirusprogramma's moeilijker om verdachte code te vinden in binaire Go, omdat ze er onder een debugger heel anders uitzien dan andere die in meer gangbare talen zijn geschreven.

Het helpt niet dat functies van deze programmeertaal ervoor zorgen dat Go-binaries nog steeds moeilijker te reverse-engineeren en analyseren.

Hoewel veel reverse-engineeringtools goed zijn toegerust in het analyseren van binaire bestanden die zijn samengesteld uit C of C ++, vormen op Go gebaseerde binaire bestanden nog steeds nieuwe uitdagingen voor reverse-engineers. Dit heeft de detectiepercentages van Golang-malware opmerkelijk laag gehouden.

Go-based malware-stammen en aanvalsvectoren

Vóór 2019 was het opsporen van malware die in Go was geschreven misschien zeldzaam, maar de laatste jaren is er een gestage toename van vervelende go-gebaseerde malwarestammen.

Een malware-onderzoeker heeft ongeveer 10.700 unieke malwarestammen gevonden die in Go in het wild zijn geschreven. De meest voorkomende hiervan zijn RAT's en achterdeurtjes, maar de afgelopen maanden hebben we ook veel verraderlijke ransomware gezien die in Go is geschreven.

ElectroRAT

Een van die informatie-stealer die in Golang is geschreven, is de extreem opdringerige ElectroRAT. Hoewel er veel van deze vervelende info-stealers in de buurt zijn, is wat deze nog verraderlijker maakt, hoe deze zich richt op meerdere besturingssystemen.

De ElectroRAT-campagne, ontdekt in december 2020, bevat platformonafhankelijke Go-gebaseerde malware met een arsenaal aan kwaadaardige mogelijkheden die worden gedeeld door de Linux-, macOS- en Windows-variant.

Deze malware kan keylogging maken, schermafbeeldingen maken, bestanden uploaden van schijven, bestanden downloaden en opdrachten uitvoeren, afgezien van het uiteindelijke doel om cryptocurrency-portefeuilles leeg te maken.

Verwant: ElectroRAT Malware gericht op cryptocurrency-portefeuilles

De uitgebreide campagne waarvan wordt aangenomen dat deze een jaar lang onopgemerkt is gebleven, omvatte nog uitgebreidere tactieken.

Dit laatste omvatte het maken van een nepwebsite en nep-accounts op sociale media, en het maken van drie afzonderlijke met trojan geïnfecteerde apps met betrekking tot cryptocurrency (elk gericht op Windows, Linux en macOS), de besmette apps promoten op crypto- en blockchain-forums zoals Bitcoin Talk, en slachtoffers naar de trojanized app's lokken webpagina's.

Zodra een gebruiker de app downloadt en vervolgens uitvoert, wordt een GUI geopend terwijl de malware op de achtergrond infiltreert.

RobbinHood

Dit sinistere ransomware haalde de krantenkoppen in 2019 na het verlammen van de computersystemen in de stad Baltimore.

De cybercriminelen achter de Robbinhood-stam eisten $ 76.000 om de bestanden te ontsleutelen. De systemen van de overheid werden bijna een maand offline en buiten gebruik gesteld en de stad zou naar verluidt in eerste instantie $ 4,6 miljoen hebben uitgegeven om de gegevens op de getroffen computers te herstellen.

Schade als gevolg van gederfde inkomsten heeft de stad mogelijk meer gekost - volgens andere bronnen tot wel $ 18 miljoen.

Oorspronkelijk gecodeerd in de programmeertaal Go, versleutelde de Robbinhood-ransomware de gegevens van het slachtoffer en voegde de bestandsnamen van gecompromitteerde bestanden vervolgens de extensie .Robbinhood toe. Vervolgens plaatste het een uitvoerbaar bestand en een tekstbestand op het bureaublad. Het tekstbestand was het losgeldbriefje met de eisen van de aanvallers.

Zebrocy

In 2020 ontwikkelde malware-operator Sofacy een Zebrocy-variant die is geschreven in Go.

De soort deed zich voor als een Microsoft Word-document en werd verspreid met behulp van COVID-19 phishing-kunstaas. Het werkte als een downloader die gegevens verzamelde van het systeem van de geïnfecteerde host en deze gegevens vervolgens uploadde naar de command-and-control-server.

Verwant: Pas op voor deze 8 COVID-19 cyberzwendel

Het Zebrocy-arsenaal, bestaande uit droppers, achterdeurtjes en downloaders, is al jaren in gebruik. Maar de Go-variant werd pas in 2019 ontdekt.

Het is ontwikkeld door door de staat gesteunde cybercriminaliteitsgroepen en was eerder gericht op ministeries van Buitenlandse Zaken, ambassades en andere overheidsorganisaties.

Meer Golang-malware komt in de toekomst

Go-based malware wordt steeds populairder en wordt voortdurend de favoriete programmeertaal voor bedreigingsactoren. Het vermogen om zich op meerdere platforms te richten en lange tijd onopgemerkt te blijven, maakt het een serieuze bedreiging die de aandacht verdient.

Dat betekent dat het de moeite waard is om te benadrukken dat u basisvoorzorgsmaatregelen tegen malware moet nemen. Klik niet op verdachte links en download geen bijlagen van e-mails of websites, zelfs niet als ze afkomstig zijn van uw familie en vrienden (die mogelijk al geïnfecteerd zijn).

Kan cyberbeveiliging bijblijven? De toekomst van malware en antivirus

Malware evolueert voortdurend, waardoor ontwikkelaars van antivirusprogramma's het tempo moeten bijhouden. Bestandsloze malware is bijvoorbeeld in wezen onzichtbaar - dus hoe kunnen we ons ertegen verdedigen?

Over de auteur