DDoSia-Malware aktualisiert und Verschlüsselung hinzugefügt

Nach Angaben des Cybersicherheitsunternehmens Sekoia haben die Entwickler des DDoSia-Angriffstools eine neue Version eingeführt, die eine andere Methode zum Abrufen der Liste der Ziele enthält, die mit Junk-HTTP-Anfragen bombardiert werden sollen. Die aktualisierte, in Golang geschriebene Variante enthält eine zusätzliche Sicherheitsmaßnahme, um die übermittelte Liste der Ziele vor dem Command-and-Control-System für die Benutzer zu verbergen.

Sekoia erwähnte, dass DDoSia einer pro-russischen Hackergruppe namens NoName(057)16 zugeschrieben wird. DDoSia wurde ursprünglich im Jahr 2022 als Nachfolger des Bobik-Botnetzes gestartet und ist darauf ausgelegt, verteilte Denial-of-Service-Angriffe durchzuführen, die hauptsächlich auf Standorte in Europa, Australien, Kanada und Japan abzielen.

Angriffe im Sommer 2023 zielen auf europäische Länder

Im Zeitraum zwischen dem 8. Mai und dem 26. Juni 2023 waren Litauen, die Ukraine, Polen, Italien, Tschechien, Dänemark, Lettland, Frankreich, das Vereinigte Königreich und die Schweiz die am stärksten von DDoSia-Angriffen betroffenen Länder. Insgesamt waren 486 verschiedene Websites betroffen.

DDoSia wurde in Python und Go implementiert und ist damit ein plattformübergreifendes Programm, das auf Windows-, Linux- und macOS-Systemen funktioniert. SentinelOne beschrieb DDoSia in einer im Januar 2023 veröffentlichten Analyse als eine Multithread-Anwendung, die Denial-of-Service-Angriffe ausführt, indem sie wiederholt Netzwerkanfragen sendet, die auf Anweisungen basieren, die sie aus einer von einem C2-Server erhaltenen Konfigurationsdatei erhält.

Die Verbreitung von DDoSia erfolgt über einen automatisierten Prozess auf Telegram, bei dem sich Einzelpersonen für die Crowdsourcing-Initiative registrieren können, indem sie eine Kryptowährungszahlung leisten und ein ZIP-Archiv mit dem Angriffs-Toolkit erhalten.

Der bemerkenswerte Aspekt der neuen Version ist der Einsatz von Verschlüsselung zur Verschleierung der Liste der anzugreifenden Ziele, was darauf hindeutet, dass die Betreiber das Tool aktiv pflegen.

Warum ist Golang zu einem beliebten Tool unter Malware-Entwicklern geworden?

Golang, auch bekannt als Go, hat aufgrund mehrerer Faktoren als Programmiersprache für die Entwicklung von Malware an Popularität gewonnen. Hier ist eine umschriebene Antwort:

Golang oder Go hat sich aus mehreren Gründen zu einer beliebten Wahl für die Entwicklung von Malware entwickelt. Erstens bietet Go eine saubere und prägnante Syntax, die leicht zu verstehen und zu schreiben ist, was es zu einer attraktiven Option für Entwickler macht, auch für solche mit böswilligen Absichten. Seine Einfachheit und Effizienz ermöglichen eine schnelle Entwicklung und Bereitstellung von Malware.

Darüber hinaus bietet Go integrierte Funktionen, die zur Tarnung und Widerstandsfähigkeit von Malware beitragen. Beispielsweise bietet es eine starke Unterstützung für Parallelität, sodass Malware mehrere Aufgaben gleichzeitig ausführen kann, was die Erkennung und Eindämmung erschwert. Go bietet außerdem robuste Netzwerkfunktionen, die für die Kommunikation von Malware mit Command-and-Control-Servern oder die Durchführung verschiedener böswilliger Aktivitäten unerlässlich sind.

Ein weiterer Faktor, der zur Beliebtheit von Go bei der Malware-Entwicklung beiträgt, ist seine Fähigkeit, in eigenständige Binärdateien zu kompilieren. Dies bedeutet, dass in Go geschriebene Malware keine externen Abhängigkeiten oder Laufzeitumgebungen erfordert, wodurch sie portabler und einfacher ohne Kompatibilitätsprobleme auf verschiedenen Betriebssystemen verteilt werden kann.