Golang est en train de devenir le langage de programmation de choix pour de nombreux développeurs de logiciels malveillants. Selon la société de cybersécurité Intezer, il y a eu une augmentation de près de 2000% du nombre de souches de logiciels malveillants basés sur Go trouvées dans la nature depuis 2017.
Le nombre d'attaques utilisant ce type de malware devrait augmenter au cours des deux prochaines années. Ce qui est le plus alarmant, c'est que nous voyons de nombreux acteurs de la menace qui ciblent plusieurs systèmes d'exploitation avec des souches provenant d'une seule base de code Go.
Voici tout ce que vous devez savoir sur cette menace émergente.
Qu'est-ce que Golang?
Go (alias Golang) est un langage de programmation open source qui est encore relativement nouveau. Il a été développé par Robert Griesemer, Rob Pike et Ken Thompson chez Google en 2007, bien qu'il n'ait été officiellement présenté au public qu'en 2009.
Il a été développé comme une alternative à C ++ et Java. L'objectif était de créer quelque chose qui soit simple à utiliser et facile à lire pour les développeurs.
En rapport: Apprenez la langue d'Android avec cette formation de développeur Google Go
Pourquoi les cybercriminels utilisent-ils Golang?
Il existe aujourd'hui des milliers de logiciels malveillants basés sur Golang. Les gangs de piratage à la fois parrainés par l'État et non parrainés par l'État l'utilisent pour produire une multitude de souches, notamment des chevaux de Troie d'accès à distance (RAT), des voleurs, des mineurs de pièces de monnaie et des botnets, entre autres.
Ce qui rend ce type de malware encore plus puissant, c'est la façon dont il peut cibler Windows, macOS et Linux en utilisant la même base de code. Cela signifie qu'un développeur de logiciels malveillants peut écrire du code une fois, puis utiliser cette base de code unique pour compiler des binaires pour plusieurs plates-formes. En utilisant la liaison statique, un code écrit par un développeur pour Linux peut s'exécuter sur Mac ou Windows.
Quoi #Golang est le plus utilisé pour#programmation#codage#code#dev#webdev#CodeNewbie# 100DaysOfCode# 69DaysOfCode#WomenWhoCodepic.twitter.com/Fv8v5v8Gd5
- kuka0len (@ kuka0len) 15 février 2021
Nous avons vu des crypto-mineurs basés sur go qui ciblent à la fois les machines Windows et Linux, ainsi que des voleurs de crypto-monnaie multi-plateformes avec des applications de Troie qui s'exécutent sur des appareils macOS, Windows et Linux.
Outre cette polyvalence, les variétés écrites en Go se sont également avérées très furtives.
Beaucoup ont infiltré des systèmes sans détection, principalement parce que les logiciels malveillants écrits en Go sont volumineux. En raison également des liaisons statiques, les binaires de Go sont relativement plus volumineux que ceux d'autres langages. De nombreux services de logiciels antivirus ne sont pas équipés pour analyser des fichiers aussi volumineux.
De plus, il est plus difficile pour la plupart des antivirus de trouver du code suspect dans le binaire Go car ils sont très différents sous un débogueur par rapport à d'autres écrits dans des langages plus courants.
Le fait que les fonctionnalités de ce langage de programmation rendent les binaires Go encore plus difficiles à inverser et à analyser n’aide pas.
Alors que de nombreux outils de rétro-ingénierie sont bien équipés pour analyser les binaires compilés à partir de C ou C ++, les binaires basés sur Go présentent toujours de nouveaux défis pour les rétro-ingénieurs. Cela a maintenu les taux de détection du malware Golang à un niveau particulièrement bas.
Souches de logiciels malveillants et vecteurs d'attaque basés sur Go
Avant 2019, la détection de logiciels malveillants écrits en Go était peut-être rare, mais ces dernières années, il y a eu une augmentation constante des mauvaises souches de logiciels malveillants basées sur Go.
Un chercheur de malwares a trouvé environ 10700 souches de logiciels malveillants uniques écrites dans Go in the wild. Les plus répandus sont les RAT et les backdoors, mais ces derniers mois, nous avons également vu de nombreux ransomwares insidieux écrits en Go.
ElectroRAT
Opération #ÉlectroRAT
- Intezer (@IntezerLabs) 5 janvier 2021
Déjà des milliers de portefeuilles cryptographiques volés. Une vaste campagne comprend des RAT écrits à partir de zéro cachés dans des applications trojanized.
Échantillons Windows, Linux et macOS non détectés dans VirusTotalhttps://t.co/KyBqPhZ0jWpic.twitter.com/iba6GEZ67r
Un tel voleur d'informations écrit en Golang est l'ElectroRAT extrêmement intrusif. Bien qu'il y ait beaucoup de ces vilains voleurs d'informations, ce qui rend celui-ci plus insidieux, c'est la façon dont il cible plusieurs systèmes d'exploitation.
La campagne ElectroRAT, découverte en décembre 2020, contient des logiciels malveillants multiplateformes basés sur Go qui possèdent un arsenal de capacités vicieuses partagées par sa variante Linux, macOS et Windows.
Ce malware est capable d'enregistrer des frappes, de prendre des captures d'écran, de télécharger des fichiers à partir de disques, de télécharger des fichiers et d'exécuter des commandes en plus de son objectif ultime de vider les portefeuilles de crypto-monnaie.
En rapport: ElectroRAT Malware ciblant les portefeuilles de crypto-monnaie
La vaste campagne dont on pense qu’elle n’a pas été détectée pendant un an a impliqué des tactiques encore plus élaborées.
Ce dernier comprenait la création d'un faux site Web et de faux comptes de médias sociaux, la création de trois applications distinctes infectées par des chevaux de Troie liées à la crypto-monnaie (chacune ciblant Windows, Linux et macOS), en faisant la promotion des applications corrompues sur les forums de crypto et de blockchain comme Bitcoin Talk, et en attirant les victimes vers les applications trojanisées les pages Web.
Une fois qu'un utilisateur télécharge puis exécute l'application, une interface graphique s'ouvre tandis que le malware s'infiltre en arrière-plan.
RobbinHood
Ce sinistre ransomware a fait la une des journaux en 2019 après avoir paralysé les systèmes informatiques de la ville de Baltimore.
Les cybercriminels à l'origine de la souche Robbinhood ont demandé 76 000 $ pour décrypter les fichiers. Les systèmes du gouvernement ont été mis hors ligne et hors service pendant près d’un mois et la ville aurait dépensé un montant initial de 4,6 millions de dollars pour récupérer les données des ordinateurs affectés.
Les dommages dus à la perte de revenus peuvent avoir coûté plus cher à la ville - jusqu'à 18 millions de dollars selon d'autres sources.
Initialement codé dans le langage de programmation Go, le ransomware Robbinhood a chiffré les données de la victime, puis a ajouté les noms de fichiers des fichiers compromis avec l'extension .Robbinhood. Il a ensuite placé un fichier exécutable et un fichier texte sur le bureau. Le fichier texte était la note de rançon avec les demandes des attaquants.
Zebrocy
# Apt28
- oiseau noir (@blackorbird) 4 juin 2019
Salade de logiciels malveillants multilingue de Zebrocyhttps://t.co/uX2WxISvvlpic.twitter.com/4WPDCVDhNY
En 2020, l'opérateur de logiciels malveillants Sofacy a développé une variante de Zebrocy écrite en Go.
La souche se faisait passer pour un document Microsoft Word et a été diffusée à l'aide de leurres de phishing COVID-19. Il fonctionnait comme un téléchargeur qui collectait les données du système de l'hôte infecté, puis les téléchargeait sur le serveur de commande et de contrôle.
En rapport: Méfiez-vous de ces 8 cyber-arnaques COVID-19
L'arsenal Zebrocy, composé de compte-gouttes, de portes dérobées et de téléchargeurs, est utilisé depuis de nombreuses années. Mais sa variante Go n'a été découverte qu'en 2019.
Il a été développé par des groupes de cybercriminalité soutenus par l'État et ciblait auparavant les ministères des Affaires étrangères, les ambassades et d'autres organisations gouvernementales.
Plus de logiciels malveillants Golang à venir dans le futur
Les logiciels malveillants basés sur Go gagnent en popularité et deviennent continuellement le langage de programmation de référence pour les acteurs de la menace. Sa capacité à cibler plusieurs plates-formes et à rester longtemps indétectable en fait une menace sérieuse digne d'attention.
Cela signifie qu'il vaut la peine de souligner que vous devez prendre des précautions de base contre les logiciels malveillants. Ne cliquez sur aucun lien suspect et ne téléchargez pas de pièces jointes à partir d'e-mails ou de sites Web, même si elles proviennent de votre famille et de vos amis (qui sont peut-être déjà infectés).
Les logiciels malveillants évoluent constamment, obligeant les développeurs d'antivirus à maintenir le rythme. Les logiciels malveillants sans fichier, par exemple, sont essentiellement invisibles - alors comment pouvons-nous nous en défendre?
- Sécurité
- Sécurité en ligne
- Malware
Loraine écrit pour des magazines, des journaux et des sites Web depuis 15 ans. Elle possède une maîtrise en technologie des médias appliquée et un vif intérêt pour les médias numériques, les études sur les médias sociaux et la cybersécurité.
Abonnez-vous à notre newsletter
Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives!
Un pas de plus…!
Veuillez confirmer votre adresse e-mail dans l'e-mail que nous venons de vous envoyer.
