Новият рансъмуер подчертава широкото възприемане на езика Golang от кибератаците

Нов щам на рансъмуер, който използва Golang, подчертава нарастващото възприемане на езика за програмиране от участниците в заплахата.

CrowdStrike осигури проба на нов вариант на рансъмуер, все още неназован, който заема функции от HelloKitty / DeathRansom и FiveHands.

Смята се, че тези рансъмуерни щамове са активни от 2019 г. и са свързани с атаки срещу производителя на Cyberpunk 2077, CD Projekt Red (CDPR), както и корпоративни организации.

Откритата проба разкрива подобни функции на HelloKitty и FiveHands, с компоненти, написани на C ++, както и начина, по който зловредният софтуер криптира файлове и приема аргументи от командния ред.

В допълнение, подобно на FiveHands, новият злонамерен софтуер използва изпълним пакет, който изисква ключова стойност за декриптиране на злонамерения си полезен товар в паметта, включително използването на превключвателя на командния ред “-key”.

„Този ​​метод на използване на капкомер само с памет предотвратява решенията за сигурност да открият крайния полезен товар без уникалния ключ, използван за изпълнение на пакера“, казва CrowdStrike.

Въпреки това, за разлика от HelloKitty и FiveHands, този нов щам на рансъмуер е приел пакет, написан в Go, който криптира неговия C ++ рансъмуер полезен товар.

Според Intezer злонамереният софтуер, използващ Go, е бил рядко явление преди 2019 г., но сега езикът за програмиране е популярен вариант поради лекотата на бързото компилиране на код за множество платформи и трудността му да се преинженерира. Процентните проби са се увеличили с приблизително 2000% през последните няколко години.

Пробата на CrowdStrike използва най-новата версия на Golang, v.1.16, който беше пуснат през февруари 2021г.

„Въпреки че написаните от Golang зловреден софтуер и пакети не са нови, компилирането му с най-новите Golang го прави предизвикателство за отстраняване на грешки за изследователи на зловреден софтуер“, отбелязва CrowdStrike “Това е така, защото всички необходими библиотеки са статично свързани и включени в двоичния файл на компилатора, а възстановяването на името на функцията е трудно.”

В допълнение към използването на Go, пробата съдържа типични функции на рансъмуера – включително възможността за криптиране на файлове и дискове, както и издаване на искане за плащане в замяна на ключ за дешифриране.

Бележката за откупа насочва жертвите към адрес Tor за директна сесия за чат с операторите на зловредния софтуер, а също така твърди, че е откраднала над 1TB лични данни, което предполага, че разработчиците може да правят опит за „двойно изнудване“: ако жертвата откаже да плати, те са заплашени от изтичане на информация.

По-рано този месец екипът на BlackBerry за изследване на заплахите публикува доклад за ChaChi, троянец, написан в Go, който е използван за атака на френските правителствени власти, а отскоро и на американския образователен сектор.


? | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com