O que você precisa saber sobre malware baseado em Golang

Golang está se tornando a linguagem de programação preferida de muitos desenvolvedores de malware. De acordo com a empresa de segurança cibernética Intezer, houve um aumento de quase 2.000 por cento no número de cepas de malware baseadas em Go encontradas na natureza desde 2017.

Espera-se que o número de ataques usando esse tipo de malware aumente nos próximos dois anos. O que é mais alarmante é que estamos vendo muitos agentes de ameaças que têm como alvo vários sistemas operacionais com tensões de uma única base de código Go.

Aqui está tudo o mais que você precisa saber sobre essa ameaça emergente.

O que é Golang?

Go (também conhecido como Golang) é uma linguagem de programação de código aberto que ainda é relativamente nova. Foi desenvolvido por Robert Griesemer, Rob Pike e Ken Thompson no Google em 2007, embora só tenha sido oficialmente apresentado ao público em 2009.

Ele foi desenvolvido como uma alternativa ao C ++ e Java. O objetivo era criar algo que fosse simples de trabalhar e fácil de ler para os desenvolvedores.

Relacionado: Aprenda a linguagem do Android com este treinamento para desenvolvedores do Google Go

Por que os cibercriminosos estão usando Golang?

Existem milhares de malware baseado em Golang à solta hoje. Ambas as gangues de hackers patrocinadas e não patrocinadas pelo estado têm usado para produzir uma série de cepas, incluindo Trojans de acesso remoto (RATs), ladrões, mineradores de moedas e botnets, entre muitos outros.

O que torna esse tipo de malware ainda mais potente é a maneira como ele pode atingir o Windows, macOS e Linux usando a mesma base de código. Isso significa que um desenvolvedor de malware pode escrever código uma vez e, em seguida, usar essa única base de código para compilar binários para várias plataformas. Usando links estáticos, um código escrito por um desenvolvedor Linux pode ser executado no Mac ou Windows.

Vimos criptomoedas baseados em go que têm como alvo máquinas Windows e Linux, bem como ladrões de criptomoedas de plataforma múltipla com aplicativos de tróia que são executados em dispositivos macOS, Windows e Linux.

Além dessa versatilidade, as cepas escritas em Go provaram ser muito furtivas também.

Muitos se infiltraram em sistemas sem detecção, principalmente porque o malware escrito em Go é grande. Também por causa da vinculação estática, os binários em Go são relativamente maiores em comparação com os de outras linguagens. Muitos serviços de software antivírus não estão equipados para verificar arquivos tão volumosos.

Além disso, é mais difícil para a maioria dos antivírus encontrar código suspeito no binário Go, uma vez que eles parecem muito diferentes em um depurador em comparação com outros escritos em linguagens mais convencionais.

O fato de os recursos desta linguagem de programação tornarem os binários Go ainda mais difíceis de fazer engenharia reversa e analisar não ajuda em nada.

Embora muitas ferramentas de engenharia reversa sejam bem equipadas para analisar binários compilados de C ou C ++, os binários baseados em Go ainda apresentam novos desafios para a engenharia reversa. Isso manteve as taxas de detecção de malware Golang notavelmente baixas.

Estirpes de malware baseado em Go e vetores de ataque

Antes de 2019, detectar malware escrito em Go pode ter sido raro, mas nos últimos anos tem havido um aumento constante de cepas de malware desagradáveis ​​baseadas em go.

Um pesquisador de malware encontrou cerca de 10.700 cepas de malware exclusivas escritas em Go in the wild. O mais comum deles são RATs e backdoors, mas nos últimos meses também vimos uma grande quantidade de ransomware insidioso escrito em Go.

ElectroRAT

Um desses ladrões de informações escrito em Golang é o extremamente intrusivo ElectroRAT. Embora existam muitos desses ladrões de informações desagradáveis ​​por aí, o que torna este mais insidioso é como ele visa vários sistemas operacionais.

A campanha ElectroRAT, descoberta em dezembro de 2020, apresenta malware multi-plataforma baseado em Go que tem um arsenal de recursos viciosos compartilhados por sua variante Linux, macOS e Windows.

Este malware é capaz de fazer keylogging, fazer capturas de tela, enviar arquivos de discos, baixar arquivos e executar comandos, além de seu objetivo final de drenar carteiras de criptomoedas.

Relacionado: Malware ElectroRAT que visa carteiras de criptomoedas

A extensa campanha que se acredita ter permanecido sem detecção por um ano envolveu táticas ainda mais elaboradas.

O último incluiu a criação de um site falso e contas de mídia social falsas, criando três aplicativos separados infectados por cavalos de Tróia relacionados à criptomoeda (cada visando Windows, Linux e macOS), promovendo os aplicativos contaminados em fóruns de criptografia e blockchain, como Bitcoin Talk, e atraindo vítimas para o aplicativo trojanizado paginas web.

Depois que um usuário baixa e executa o aplicativo, uma GUI é aberta enquanto o malware se infiltra em segundo plano.

RobbinHood

Esta ransomware sinistro ganhou as manchetes em 2019 após paralisar os sistemas de computador da cidade de Baltimore.

Os cibercriminosos por trás da cepa Robbinhood exigiram US $ 76.000 para descriptografar os arquivos. Os sistemas do governo ficaram offline e fora de serviço por quase um mês e a cidade supostamente gastou US $ 4,6 milhões iniciais para recuperar os dados nos computadores afetados.

Danos devido à perda de receita podem ter custado mais à cidade - até US $ 18 milhões, de acordo com outras fontes.

Originalmente codificado na linguagem de programação Go, o ransomware Robbinhood criptografou os dados da vítima e, em seguida, anexou os nomes dos arquivos comprometidos com a extensão .Robbinhood. Em seguida, colocou um arquivo executável e um arquivo de texto na área de trabalho. O arquivo de texto era a nota de resgate com as demandas dos atacantes.

Zebrocy

Em 2020, a operadora de malware Sofacy desenvolveu uma variante do Zebrocy escrita em Go.

A cepa mascarada como um documento do Microsoft Word e foi espalhada usando iscas de phishing COVID-19. Funcionava como um downloader que coletava dados do sistema do host infectado e, em seguida, carregava esses dados no servidor de comando e controle.

Relacionado: Fique atento a esses 8 golpes virtuais do COVID-19

O arsenal Zebrocy, composto de conta-gotas, backdoors e downloaders, está em uso há muitos anos. Mas sua variante Go só foi descoberta em 2019.

Ele foi desenvolvido por grupos de cibercrime apoiados pelo estado e anteriormente tinha como alvo ministérios de relações exteriores, embaixadas e outras organizações governamentais.

Mais malware Golang virá no futuro

O malware baseado em Go está crescendo em popularidade e se tornando continuamente a linguagem de programação preferida para os agentes de ameaças. Sua capacidade de atingir várias plataformas e não ser detectado por um longo tempo torna-o uma ameaça séria e digna de atenção.

Isso significa que vale a pena destacar que você precisa tomar precauções básicas contra malware. Não clique em nenhum link suspeito ou baixe anexos de e-mails ou sites - mesmo que eles venham de sua família e amigos (que já podem estar infectados).

A cibersegurança pode acompanhar? O futuro do malware e antivírus

O malware está em constante evolução, forçando os desenvolvedores de antivírus a manter o ritmo. O malware sem arquivo, por exemplo, é essencialmente invisível - então, como podemos nos defender contra ele?

Sobre o autor