Новые находки Avast подтвердили рост популярности Golang у вирусописателей

Новые находки Avast подтвердили рост популярности Golang у вирусописателей

Новые находки Avast подтвердили рост популярности Golang у вирусописателей

Последние месяцы Avast фиксирует рост количества вредоносных и потенциально опасных программ, написанных на Go. Эксперты еженедельно находят новые семплы и решили рассказать о паре таких зловредов — бэкдоре Backdoorit и IRC-боте Caligula.

Новобранцы, как и большинство других Go-творений вирусописателей, способны работать на разных платформах. Оба были обнаружены на внутренних ханипотах Avast в конце апреля и на тот момент не детектировались антивирусами VirusTotal.

Инструмент удаленного доступа с говорящим именем Backdoorit (в коде встречается и другое написание — backd00rit) совместим и с Windows, и с Linux/Unix. Его основной целью является кража файлов, связанных с Minecraft, а также проектов Visual Studio и Intellij. Он ворует и другие данные по выбору оператора, умеет выполнять произвольные команды, загружать дополнительных зловредов и делать скриншоты.

Создатель Backdoorit, по мнению Avast, — скорее всего, носитель русского языка: комменты и строки кода написаны в основном на английском, но с грамматическими ошибками; встречаются строки на русском, к тому же зловред среди прочего нацелен на файлы VimeWorld — русскоязычного хаба Minecraft-серверов.

После запуска бэкдор собирает информацию о рабочей среде, такую как тип ОС и имя текущего пользователя. Затем вредонос пытается подключиться к C2-серверу, чтобы открыть хозяину доступ к командной оболочке.

В ходе работы Backdoorit регистрирует все операции, выполняемые в системе, и действия пользователя. Отчеты загружаются на веб-сервис Bashupload, позволяющий с легкостью перемещать файлы между серверами.

Зловред также снабжен подобием kill-switch; при запуске этот механизм не только стирает следы непрошеного вторжения, но может также вызвать крах Windows через эксплойт CVE-2021-24098 или испортить NTFS-диск с помощью CVE-2021-28312. Судя по присутствию checkupdates в списке поддерживаемых команд, можно ожидать появления новых версий Backdoorit.

Боты Caligula предназначены для проведения DDoS-атак и распространяются в виде ELF-файлов. Вредонос пока работает только под Linux и Windows с подсистемой WSL и определяет тип, используя функцию os_user_Current.

Поддерживаемые архитектуры процессоров:

  • Intel 80386 32-бит,
  • ARM 32-бит,
  • PowerPC 64-бит,
  • AMD 64-бит.

Новый IRC-зловред создан на основе Hellabot, хотя некоторые фрагменты кода взяты из других opensource-проектов. Все найденные образцы подключаются к одному и тому же IRC-каналу, используя вшитые данные (хост 45.95.55.24:6667, юзернейм составлен из платформы, имени текущего пользователя и псевдослучайной последовательности цифр).

Боты Caligula способны проводить DDoS-атаки типа flood — UDP, HTTP, SYN, TCP и бомбардировка пакетами квитирования (ACK-флуд).

Рост популярности Golang в криминальной среде неудивителен: в сравнении с C/C++ он упрощает разработку, ускоряет компиляцию и позволяет создавать мультиплатформенные программы. На Go написаны актуальные шифровальщики Hive, HermeticRansom, eCh0raix, Epsilon Red, боты Kraken и BotenaGo. Иногда создатели таких творений публикуют их на GithHub, открывая доступ для просмотра и изменения, и другие преступники охотно этим пользуются.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В мессенджер Signal для Windows добавили поддержку Arm64

Разработчики Signal выпустили обновление 7.34.0 для Windows-версии мессенджера. Устранен баг режима Dark, реализована поддержка процессоров с архитектурой Arm64 — таких как Snapdragon X Plus и Elite от Qualcomm.

Отныне приложение для IM-связи будет работать шустрее и более гладко на таких десктопах, притом без эмулятора, — так же, как при запускек на устройствах Microsoft Surface на базе ARM.

Поддержку этой аппаратной платформы недавно получил ряд других популярных Windows-программ: Google Chrome, Telegram, браузер Vivaldi, Adobe Illustrator, Slack.

В 2020 году доля ноутбуков на ARM составляла немногим более 1%. По прогнозам аналитиков, к концу десятилетия этот показатель возрастет до 40%.

Укреплению положения ARM на рынке десктопов способствуют рост популярности сервисов на основе генеративного ИИ, в частности, Copilot (их производительность на ARM выше), а также проблемы, которые начали испытывать Intel и AMD.

Мессенджер Signal — бесплатный продукт с открытым исходным кодом, разработанный с упором на безопасность и приватность. С августа доступ к Signal в рунете ограничен «в связи с нарушением требований российского законодательства» (цитата по РБК).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru