Golang har blivit det programmeringsspråk som valts för många utvecklare av skadlig programvara. Enligt cybersäkerhetsföretaget Intezer har antalet Go-baserade malware-stammar som hittats i naturen varit nästan 2000 procent sedan 2017.
Antalet attacker med denna typ av skadlig kod förväntas öka under de närmaste åren. Det som är mest alarmerande är att vi ser många hotaktörer som riktar sig mot flera operativsystem med stammar från en enda Go-kodbas.
Här är allt annat du behöver veta om det här hotet.
Vad är Golang?
Go (aka Golang) är ett programmeringsspråk med öppen källkod som fortfarande är relativt nytt. Det utvecklades av Robert Griesemer, Rob Pike och Ken Thompson på Google 2007, även om det först officiellt introducerades för allmänheten 2009.
Den utvecklades som ett alternativ till C ++ och Java. Målet var att skapa något som är enkelt att arbeta med och lätt att läsa för utvecklare.
Relaterad: Lär dig Android-språket med den här Google Go-utvecklarutbildningen
Varför använder cyberkriminella Golang?
Det finns tusentals Golang-baserade skadliga program i naturen idag. Både statssponserade och icke-statssponserade hackagäng har använt det för att producera en mängd stammar, inklusive fjärråtkomsttrojaner, stjälare, myntgruvar och botnät bland många andra.
Vad som gör denna typ av skadlig kod extra potent är hur den kan rikta in sig på Windows, macOS och Linux med samma kodbas. Detta innebär att en skadlig programvaruutvecklare kan skriva kod en gång och sedan använda denna enda kodbas för att kompilera binärer för flera plattformar. Med statisk länkning kan en kod skriven av en utvecklare för Linux köras på Mac eller Windows.
Vad #Golang används mest för#programmering#kodning#koda#dev#webdev#CodeNewbie# 100DaysOfCode# 69DaysOfCode#WomenWhoCodepic.twitter.com/Fv8v5v8Gd5
- kuka0len (@ kuka0len) 15 februari 2021
Vi har sett go-baserade krypto gruvarbetare som riktar sig mot både Windows- och Linux-maskiner samt kryptovaluta-stjälare med flera plattformar med trojanska appar som körs på macOS-, Windows- och Linux-enheter.
Bortsett från denna mångsidighet har stammar skrivna i Go visat sig vara mycket smygande också.
Många har infiltrerat system utan upptäckt, främst för att skadlig programvara skriven i Go är stor. Också på grund av statisk länkning är binärfiler i Go relativt större jämfört med andra språk. Många antivirusprogramstjänster är inte utrustade för att skanna filer så skrymmande.
Dessutom är det svårare för de flesta antivirusmedel att hitta misstänkt kod i Go binär eftersom de ser mycket annorlunda ut under en felsökare jämfört med andra skrivna på mer vanliga språk.
Det hjälper inte att funktionerna i detta programmeringsspråk gör Go-binärer fortfarande svårare att omvandla och analysera.
Medan många verktyg för omvänd teknik är välutrustade för att analysera binära filer sammanställda från C eller C ++, är Go-baserade binärer fortfarande nya utmaningar för omvänd ingenjörer. Detta har hållit upptäckt av Golang-malware särskilt lågt.
Go-Based Malware Stammar och Attack Vectors
Före 2019 kan det vara sällsynt att upptäcka skadlig programvara som skrivits i Go, men de senaste åren har det skett en stadig ökning av otäcka, go-baserade skadliga skadestammar.
En malware-forskare har hittat cirka 10 700 unika skadliga programstammar skrivna i Go in the wild. Den vanligaste av dessa är RAT och bakdörrar men under de senaste månaderna har vi också sett en hel del smygande ransomware skrivna i Go.
ElectroRAT
Drift #ElectroRAT
- Intezer (@IntezerLabs) 5 januari 2021
Redan tusentals kryptoplånböcker stulna. Omfattande kampanj inkluderar skriven från grunden RAT gömd i trojaniserade applikationer.
Windows-, Linux- och macOS-prover upptäcks inte i VirusTotalhttps://t.co/KyBqPhZ0jWpic.twitter.com/iba6GEZ67r
En sådan info-stealer skriven i Golang är den extremt påträngande ElectroRAT. Medan det finns många av dessa otäcka informationsstålare runt, är det som gör den här snedigare hur den riktar sig till flera operativsystem.
ElectroRAT-kampanjen, som upptäcktes i december 2020, har Go-baserad skadlig programvara på flera plattformar som har en arsenal av onda funktioner som delas av sin Linux-, MacOS- och Windows-variant.
Den här skadliga programvaran kan keylogga, ta skärmdumpar, ladda upp filer från diskar, ladda ner filer och utföra kommandon bortsett från dess yttersta mål att tömma kryptovalutaplånböcker.
Relaterad: ElectroRAT Malware Targeting Cryptocurrency Wallets
Den omfattande kampanj som tros ha förblivit oupptäckt under ett år innebar ännu mer detaljerade taktiker.
Den senare inkluderade att skapa en falsk webbplats och falska sociala mediekonton, skapa tre separata trojaninfekterade appar relaterade till kryptovaluta (vardera inrikta sig på Windows, Linux och macOS), främja de smittade apparna på krypto- och blockchainforum som Bitcoin Talk och locka offer till den trojaniserade appens webbsidor.
När en användare laddar ner och sedan kör appen öppnas ett användargränssnitt medan skadlig programvara infiltrerar i bakgrunden.
RobbinHood
Detta olycklig ransomware gjorde rubriker 2019 efter att ha förlamat staden Baltimores datorsystem.
Cyberbrottslingarna bakom Robbinhood-stammen krävde 76 000 dollar för att dekryptera filerna. Regeringens system gjordes offline och ur drift i nästan en månad och staden hade enligt uppgift initialt 4,6 miljoner dollar för att återställa data i de drabbade datorerna.
Skador på grund av intäktsförlust kan ha kostat staden mer - upp till 18 miljoner dollar enligt andra källor.
Ursprungligen kodad i Go-programmeringsspråket krypterade Robbinhood-ransomware offrets data och bifogade sedan filnamnen på komprometterade filer med .Robbinhood-tillägget. Den placerade sedan en körbar fil och textfil på skrivbordet. Textfilen var lösensedeln med angriparnas krav.
Zebrocy
# Apt28
- blackorbird (@blackorbird) 4 juni 2019
Zebrocy's Multilanguage Malware Saladhttps://t.co/uX2WxISvvlpic.twitter.com/4WPDCVDhNY
År 2020 utvecklade malwareoperatören Sofacy en Zebrocy-variant som är skriven i Go.
Stammen maskerad som ett Microsoft Word-dokument och sprids med COVID-19-nätfiske. Det fungerade som en nedladdare som samlade in data från den infekterade värdens system och sedan laddade upp dessa data till kommandokontrollservern.
Relaterad: Se upp för dessa 8 COVID-19 cyberbedrägerier
Zebrocy-arsenalen, bestående av droppare, bakdörrar och nedladdare, har använts i många år. Men dess Go-variant upptäcktes först 2019.
Den har utvecklats av statligt stödda cyberbrottsgrupper och har tidigare riktat sig till utrikesministerier, ambassader och andra statliga organisationer.
Mer Golang-skadlig programvara kommer i framtiden
Go-baserad skadlig kod ökar i popularitet och blir kontinuerligt det programmerbara språket för hotaktörer. Dess förmåga att rikta sig mot flera plattformar och förbli oupptäckt under lång tid gör det till ett allvarligt hot värt uppmärksamhet.
Det betyder att det är värt att lyfta fram att du måste vidta grundläggande försiktighetsåtgärder mot skadlig kod. Klicka inte på några misstänkta länkar eller ladda ner bilagor från e-post eller webbplatser - även om de kommer från din familj och dina vänner (som kanske redan är smittade).
Malware utvecklas ständigt och tvingar antivirusutvecklare att hålla takten. Fileless malware är till exempel i huvudsak osynligt - så hur kan vi försvara oss mot det?
- säkerhet
- Onlinesäkerhet
- Skadlig programvara
Loraine har skrivit för tidningar, tidningar och webbplatser i 15 år. Hon har en magisterexamen i tillämpad medieteknik och ett stort intresse för digitala medier, sociala mediestudier och cybersäkerhet.
Prenumerera på vårt nyhetsbrev
Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!
Ett steg till…!
Bekräfta din e-postadress i e-postmeddelandet som vi just skickade till dig.
