Новые находки Avast подтвердили рост популярности Golang у вирусописателей

Последние месяцы Avast фиксирует рост количества вредоносных и потенциально опасных программ, написанных на Go. Эксперты еженедельно находят новые семплы и решили рассказать о паре таких зловредов — бэкдоре Backdoorit и IRC-боте Caligula.

Новобранцы, как и большинство других Go-творений вирусописателей, способны работать на разных платформах. Оба были обнаружены на внутренних ханипотах Avast в конце апреля и на тот момент не детектировались антивирусами VirusTotal.

Инструмент удаленного доступа с говорящим именем Backdoorit (в коде встречается и другое написание — backd00rit) совместим и с Windows, и с Linux/Unix. Его основной целью является кража файлов, связанных с Minecraft, а также проектов Visual Studio и Intellij. Он ворует и другие данные по выбору оператора, умеет выполнять произвольные команды, загружать дополнительных зловредов и делать скриншоты.

Создатель Backdoorit, по мнению Avast, — скорее всего, носитель русского языка: комменты и строки кода написаны в основном на английском, но с грамматическими ошибками; встречаются строки на русском, к тому же зловред среди прочего нацелен на файлы VimeWorld — русскоязычного хаба Minecraft-серверов.

После запуска бэкдор собирает информацию о рабочей среде, такую как тип ОС и имя текущего пользователя. Затем вредонос пытается подключиться к C2-серверу, чтобы открыть хозяину доступ к командной оболочке.

В ходе работы Backdoorit регистрирует все операции, выполняемые в системе, и действия пользователя. Отчеты загружаются на веб-сервис Bashupload, позволяющий с легкостью перемещать файлы между серверами.

Зловред также снабжен подобием kill-switch; при запуске этот механизм не только стирает следы непрошеного вторжения, но может также вызвать крах Windows через эксплойт CVE-2021-24098 или испортить NTFS-диск с помощью CVE-2021-28312. Судя по присутствию checkupdates в списке поддерживаемых команд, можно ожидать появления новых версий Backdoorit.

Боты Caligula предназначены для проведения DDoS-атак и распространяются в виде ELF-файлов. Вредонос пока работает только под Linux и Windows с подсистемой WSL и определяет тип, используя функцию os_user_Current.

Поддерживаемые архитектуры процессоров:

• Intel 80386 32-бит,
• ARM 32-бит,
• PowerPC 64-бит,
• AMD 64-бит.

Новый IRC-зловред создан на основе Hellabot, хотя некоторые фрагменты кода взяты из других opensource-проектов. Все найденные образцы подключаются к одному и тому же IRC-каналу, используя вшитые данные (хост 45.95.55.24:6667, юзернейм составлен из платформы, имени текущего пользователя и псевдослучайной последовательности цифр).

Боты Caligula способны проводить DDoS-атаки типа flood — UDP, HTTP, SYN, TCP и бомбардировка пакетами квитирования (ACK-флуд).

Рост популярности Golang в криминальной среде неудивителен: в сравнении с C/C++ он упрощает разработку, ускоряет компиляцию и позволяет создавать мультиплатформенные программы. На Go написаны актуальные шифровальщики Hive, HermeticRansom, eCh0raix, Epsilon Red, боты Kraken и BotenaGo. Иногда создатели таких творений публикуют их на GithHub, открывая доступ для просмотра и изменения, и другие преступники охотно этим пользуются.