Ce que vous devez savoir sur les logiciels malveillants basés sur Golang

Golang est en train de devenir le langage de programmation de choix pour de nombreux développeurs de logiciels malveillants. Selon la société de cybersécurité Intezer, il y a eu une augmentation de près de 2000% du nombre de souches de logiciels malveillants basés sur Go trouvées dans la nature depuis 2017.

Le nombre d'attaques utilisant ce type de malware devrait augmenter au cours des deux prochaines années. Ce qui est le plus alarmant, c'est que nous voyons de nombreux acteurs de la menace qui ciblent plusieurs systèmes d'exploitation avec des souches d'une seule base de code Go.

Voici tout ce que vous devez savoir sur cette menace émergente.

Qu'est-ce que Golang?

Go (alias Golang) est un langage de programmation open source qui est encore relativement nouveau. Il a été développé par Robert Griesemer, Rob Pike et Ken Thompson chez Google en 2007, bien qu'il n'ait été officiellement présenté au public qu'en 2009.

Il a été développé comme une alternative à C ++ et Java. L'objectif était de créer quelque chose qui soit simple à utiliser et facile à lire pour les développeurs.

En relation: Apprenez la langue d'Android avec cette formation de développeur Google Go

Pourquoi les cybercriminels utilisent-ils Golang?

Il existe aujourd'hui des milliers de logiciels malveillants basés sur Golang. Les gangs de piratage à la fois parrainés par l'État et non parrainés par l'État l'utilisent pour produire une multitude de souches, notamment des chevaux de Troie d'accès à distance (RAT), des voleurs, des mineurs de pièces de monnaie et des botnets, entre autres.

Ce qui rend ce type de malware encore plus puissant, c'est la façon dont il peut cibler Windows, macOS et Linux en utilisant la même base de code. Cela signifie qu'un développeur de logiciels malveillants peut écrire du code une fois, puis utiliser cette base de code unique pour compiler des binaires pour plusieurs plates-formes. En utilisant la liaison statique, un code écrit par un développeur pour Linux peut s'exécuter sur Mac ou Windows.

Nous avons vu des crypto-mineurs basés sur go qui ciblent à la fois les machines Windows et Linux, ainsi que des voleurs de crypto-monnaie multi-plateformes avec des applications de Troie qui s'exécutent sur des appareils macOS, Windows et Linux.

Outre cette polyvalence, les variétés écrites en Go se sont également avérées très furtives.

Beaucoup ont infiltré des systèmes sans détection, principalement parce que les logiciels malveillants écrits en Go sont volumineux. En raison également des liaisons statiques, les binaires de Go sont relativement plus volumineux que ceux d'autres langages. De nombreux services de logiciels antivirus ne sont pas équipés pour analyser des fichiers aussi volumineux.

De plus, il est plus difficile pour la plupart des antivirus de trouver du code suspect dans le binaire Go car ils sont très différents sous un débogueur par rapport à d'autres écrits dans des langages plus courants.

Cela n'aide pas que les fonctionnalités de ce langage de programmation rendent les binaires Go encore plus difficiles à inverser et à analyser.

Alors que de nombreux outils de rétro-ingénierie sont bien équipés pour analyser les binaires compilés à partir de C ou C ++, les binaires basés sur Go présentent encore de nouveaux défis pour les rétro-ingénieurs. Cela a maintenu les taux de détection du malware Golang à un niveau particulièrement bas.

Souches de logiciels malveillants et vecteurs d'attaque basés sur Go

Avant 2019, la détection de logiciels malveillants écrits en Go était peut-être rare, mais ces dernières années, il y a eu une augmentation constante des mauvaises souches de logiciels malveillants basées sur Go.

Un chercheur de logiciels malveillants a trouvé environ 10700 souches de logiciels malveillants uniques écrites dans Go in the wild. Les plus répandus sont les RAT et les backdoors, mais ces derniers mois, nous avons également vu de nombreux ransomwares insidieux écrits en Go.

ElectroRAT

Un tel voleur d'informations écrit en Golang est l'ElectroRAT extrêmement intrusif. Bien qu'il y ait beaucoup de ces vilains voleurs d'informations, ce qui rend celui-ci plus insidieux, c'est la façon dont il cible plusieurs systèmes d'exploitation.

La campagne ElectroRAT, découverte en décembre 2020, présente des logiciels malveillants multiplateformes basés sur Go qui possèdent un arsenal de capacités vicieuses partagées par sa variante Linux, macOS et Windows.

Ce malware est capable d'enregistrer des frappes, de prendre des captures d'écran, de télécharger des fichiers à partir de disques, de télécharger des fichiers et d'exécuter des commandes en plus de son objectif ultime de vider les portefeuilles de crypto-monnaie.

Connexes: ElectroRAT Malware ciblant les portefeuilles de crypto-monnaie

La vaste campagne qui serait restée inaperçue pendant un an impliquait des tactiques encore plus élaborées.

Ce dernier comprenait la création d'un faux site Web et de faux comptes de médias sociaux, la création de trois applications distinctes infectées par des chevaux de Troie liées à la crypto-monnaie (chacune ciblant Windows, Linux et macOS), la promotion des applications contaminées sur des forums de crypto et de blockchain comme Bitcoin Talk, et d'attirer les victimes. aux pages Web de l'application trojanisée.

Une fois qu'un utilisateur télécharge puis exécute l'application, une interface graphique s'ouvre tandis que le malware s'infiltre en arrière-plan.

RobbinHood

Ce sinistre ransomware a fait la une des journaux en 2019 après avoir paralysé les systèmes informatiques de la ville de Baltimore.

Les cybercriminels à l'origine de la souche Robbinhood ont demandé 76 000 $ pour décrypter les fichiers. Les systèmes du gouvernement ont été rendus hors ligne et hors service pendant près d'un mois et la ville aurait dépensé un montant initial de 4,6 millions de dollars pour récupérer les données des ordinateurs affectés.

Les dommages dus à la perte de revenus peuvent avoir coûté plus cher à la ville – jusqu'à 18 millions de dollars selon d'autres sources.

Initialement codé dans le langage de programmation Go, le ransomware Robbinhood a chiffré les données de la victime, puis a ajouté les noms de fichiers des fichiers compromis avec l'extension .Robbinhood. Il a ensuite placé un fichier exécutable et un fichier texte sur le bureau. Le fichier texte était la note de rançon avec les demandes des attaquants.

Zebrocy

En 2020, l'opérateur de logiciels malveillants Sofacy a développé une variante de Zebrocy écrite en Go.

La souche se faisait passer pour un document Microsoft Word et a été diffusée à l'aide de leurres de phishing COVID-19. Il fonctionnait comme un téléchargeur qui collectait les données du système de l'hôte infecté, puis chargeait ces données sur le serveur de commande et de contrôle.

En relation: Méfiez-vous de ces 8 cyber-arnaques COVID-19

L'arsenal Zebrocy, composé de compte-gouttes, de portes dérobées et de téléchargeurs, est utilisé depuis de nombreuses années. Mais sa variante Go n'a été découverte qu'en 2019.

Il a été développé par des groupes de cybercriminalité soutenus par l'État et ciblait auparavant les ministères des Affaires étrangères, les ambassades et d'autres organisations gouvernementales.

Plus de logiciels malveillants Golang à venir dans le futur

Les logiciels malveillants basés sur Go gagnent en popularité et deviennent continuellement le langage de programmation de référence pour les acteurs de la menace. Sa capacité à cibler plusieurs plates-formes et à rester longtemps indétectable en fait une menace sérieuse digne d'attention.

Cela signifie qu'il vaut la peine de souligner que vous devez prendre des précautions de base contre les logiciels malveillants. Ne cliquez sur aucun lien suspect et ne téléchargez pas de pièces jointes à partir d'e-mails ou de sites Web, même si elles proviennent de votre famille et de vos amis (qui sont peut-être déjà infectés).