Новые находки Avast подтвердили рост популярности Golang у вирусописателей

Новые находки Avast подтвердили рост популярности Golang у вирусописателей

Последние месяцы Avast фиксирует рост количества вредоносных и потенциально опасных программ, написанных на Go. Эксперты еженедельно находят новые семплы и решили рассказать о паре таких зловредов — бэкдоре Backdoorit и IRC-боте Caligula.

Новобранцы, как и большинство других Go-творений вирусописателей, способны работать на разных платформах. Оба были обнаружены на внутренних ханипотах Avast в конце апреля и на тот момент не детектировались антивирусами VirusTotal.

Инструмент удаленного доступа с говорящим именем Backdoorit (в коде встречается и другое написание — backd00rit) совместим и с Windows, и с Linux/Unix. Его основной целью является кража файлов, связанных с Minecraft, а также проектов Visual Studio и Intellij. Он ворует и другие данные по выбору оператора, умеет выполнять произвольные команды, загружать дополнительных зловредов и делать скриншоты.

Создатель Backdoorit, по мнению Avast, — скорее всего, носитель русского языка: комменты и строки кода написаны в основном на английском, но с грамматическими ошибками; встречаются строки на русском, к тому же зловред среди прочего нацелен на файлы VimeWorld — русскоязычного хаба Minecraft-серверов.

После запуска бэкдор собирает информацию о рабочей среде, такую как тип ОС и имя текущего пользователя. Затем вредонос пытается подключиться к C2-серверу, чтобы открыть хозяину доступ к командной оболочке.

В ходе работы Backdoorit регистрирует все операции, выполняемые в системе, и действия пользователя. Отчеты загружаются на веб-сервис Bashupload, позволяющий с легкостью перемещать файлы между серверами.

Зловред также снабжен подобием kill-switch; при запуске этот механизм не только стирает следы непрошеного вторжения, но может также вызвать крах Windows через эксплойт CVE-2021-24098 или испортить NTFS-диск с помощью CVE-2021-28312. Судя по присутствию checkupdates в списке поддерживаемых команд, можно ожидать появления новых версий Backdoorit.

Боты Caligula предназначены для проведения DDoS-атак и распространяются в виде ELF-файлов. Вредонос пока работает только под Linux и Windows с подсистемой WSL и определяет тип, используя функцию os_user_Current.

Поддерживаемые архитектуры процессоров:

  • Intel 80386 32-бит,
  • ARM 32-бит,
  • PowerPC 64-бит,
  • AMD 64-бит.

Новый IRC-зловред создан на основе Hellabot, хотя некоторые фрагменты кода взяты из других opensource-проектов. Все найденные образцы подключаются к одному и тому же IRC-каналу, используя вшитые данные (хост 45.95.55.24:6667, юзернейм составлен из платформы, имени текущего пользователя и псевдослучайной последовательности цифр).

Боты Caligula способны проводить DDoS-атаки типа flood — UDP, HTTP, SYN, TCP и бомбардировка пакетами квитирования (ACK-флуд).

Рост популярности Golang в криминальной среде неудивителен: в сравнении с C/C++ он упрощает разработку, ускоряет компиляцию и позволяет создавать мультиплатформенные программы. На Go написаны актуальные шифровальщики Hive, HermeticRansom, eCh0raix, Epsilon Red, боты Kraken и BotenaGo. Иногда создатели таких творений публикуют их на GithHub, открывая доступ для просмотра и изменения, и другие преступники охотно этим пользуются.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

iOS и iPadOS 17.4.1 устранили уязвимость удалённого выполнения кода

Apple раскрыла немного подробностей относительно одного из последних обновлений, вышедших на прошлой неделе, — iOS и iPadOS 17.4.1. Оказалось, апдейты устраняют опасную уязвимость, способную привести к удалённому выполнению кода.

Как пишет корпорация, уязвимость, получившая идентификатор CVE-2024-1580, затрагивает следующие модели «яблочных» устройств:

  • iPhone XS и более поздние;
  • iPad Pro (12,9 дюйма) и более поздние;
  • Первое поколение 11-дюймового iPad Pro и более поздние;
  • Третье поколение iPad Air и более поздние;
  • iPad mini пятого поколения и более поздние.

Корень CVE-2024-1580 кроется в библиотеке с открытым исходным кодом — dav1d AV1 (используется для декодирования AV1-видео на многих платформах и девайсах), допускающей запись за пределами границ.

В iOS и iPadOS от бреши страдают два компонента: фреймворк Core Media, предназначенный для обработки мультимедийных данных, и имплементация WebRTC.

Чтобы полностью избавить пользователей от CVE-2024-1580, Apple выпустила патчи для браузера Safari, а также систем macOS Sonoma и VenturavisionOS. За информацию об уязвимости корпорация поблагодарила исследователи из команды Google Project Zero.

Есть мнение, что Apple не сразу опубликовала разъяснения к апдейтам именно потому, что разработчики считают CVE-2024-1580 опасной проблемой.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru