22/12/23
Недавно команда исследователей Alien Labs из компании AT&T обнаружила новую и весьма серьёзную угрозу в области кибербезопасности — мультиплатформенное вредоносное ПО JaskaGO, созданное на языке программирования Golang, пишет Securitylab.
Вредонос представляет из себя инфостилер с продвинутыми возможностями и направлен на операционные системы Windows и macOS. Он использует широкий спектр команд, которые получает с C2-сервера злоумышленников.
Экземпляры JaskaGO, предназначенные для macOS, впервые были обнаружены исследователями в июле этого года. Они были хитроумно замаскированы под установщики законного программного обеспечения, такого как CapCut, AnyConnect и различные инструменты безопасности.
После запуска JaskaGO проводит ряд проверок, включая определение, где запущен вредонос — в реальной системе или на виртуальной машине. В последнем случае программа начинает выполнять абсолютно безвредные действия, такие как пинг сайта Google. Этим способом хакеры пытаются убедить исследователей, что найденный ими файл не представляет никакой угрозы.
Если же вредонос обнаружил, что запущен в реальной системе, он тут же начинает сбор информации и устанавливает связь со своим C2-сервером для получения дальнейших инструкций. К таким инструкциям относятся выполнение команд оболочки, перечисление запущенных процессов и загрузка дополнительных полезных нагрузок.
JaskaGO также может быть использован для кражи криптовалюты путём подмены в реальном времени адреса кошельков жертв на аналогичные, но принадлежащие хакерам. Также вредонос активно ворует файлы и данные из веб-браузеров.
Офер Каспи, исследователь в области безопасности, отметил, что на macOS JaskaGO использует многоступенчатый процесс для обеспечения постоянства в системе, который включает запуск с правами администратора, отключение защиты Gatekeeper и создание настроенного демона запуска для автоматического включения при старте системы. Впрочем, в системах Windows вредонос использует аналогичные механизмы.
Пока неизвестно, как распространяется это вредоносное ПО и используется ли для этого фишинг или мошенническая реклама. Масштаб кампании так же пока остаётся неясным.
Каспи подчёркивает, что JaskaGO является частью растущего тренда использования языка программирования Go для разработки вредоносного ПО. Этот язык, известный своей простотой, эффективностью и кроссплатформенными возможностями, становится всё более популярным выбором среди создателей вредоносных программ, стремящихся создать максимально функциональные и сложные хакерские инструменты.
