This post is also available in: Português Español
Recentemente, a equipe de pesquisadores da Securonix Threat identificou uma nova campanha de malware baseado na linguagem de programação Go – também conhecida como Golang – que utiliza imagens do telescópio espacial James Webb para implantar malware em dispositivos.
O malware baseado em Golang está em ascensão ganhando popularidade com grupos de ameaças persistentes (APT). Existem algumas razões pelas quais podemos estar vendo esses APTs migrarem para a plataforma Go.
Primeiro, os binários Go são muito mais difíceis de analisar e fazer engenharia reversa em comparação com os binários compilados em C++ ou C#. Go também é muito flexível quando se trata de suporte e compilação entre plataformas. Os cibercriminosos podem compilar código usando uma base de código comum para várias plataformas, como os sistemas operacionais Windows e *NIX.
Além disso, existem várias estruturas de malware proeminentes, como ColdFire e OffensiveGolang, projetadas para produzir malware e executáveis baseados em Go.
James Webb
O telescópio espacial James Webb, da NASA, é conhecido pelas imagens impressionantes do espaço. Dada a sua tecnologia avançada, o telescópio pode capturar as primeiras galáxias criadas logo após o big bang. Os cibercriminosos estão cientes de sua popularidade entre os aficionados por astronomia e por imagens do espaço pelas pessoas em geral e decidiram monetizar com ataques de phishing.
A campanha
Em seu relatório, os pesquisadores D. Iuzvyk, T. Peck e O. Kolesnikov explicam que esta campanha envolve o envio de e-mails de phishing que contém um anexo do Office, da Microsoft, chamado Geos-Rates.docx. O arquivo é baixado como um modelo.
Esses e-mails são o ponto de entrada da cadeia de ataque. Quando o anexo é aberto, uma macro Visual Basic for Applications (VBA) ofuscada é executada automaticamente se o destinatário tiver habilitado macros. Quando executada, a macro baixa um arquivo de imagem intitulado OxB36F8GEEC634.jpg.
Essa parece ser a imagem do First Deep Field enviada pelo telescópio, mas, na realidade, é uma carga útil codificada em Base64. O binário executável do Windows de 64 bits tem 1.7 MB de tamanho. Ele pode facilmente escapar de software antimalware e usa uma técnica chamada gobfuscation para utilizar uma ferramenta de ofuscação Golang, que está disponível publicamente no GitHub.
De acordo com os pesquisadores, os cibercriminosos estão usando consultas/respostas DNS criptografadas para se comunicar com o servidor de comando e controle (C&C), por meio do qual o malware pode aceitar e executar comandos enviados pelo servidor por meio do prompt de comando do Windows.
Os pesquisadores ainda observam que usar uma imagem legítima para construir um binário Golang não é muito comum. Está claro que o autor original do binário projetou a carga útil com algumas metodologias triviais contraforense e anti-EDR em mente.
Fonte: Securonix.
This post is also available in: Português Español