Mise à jour du logiciel malveillant DDoSia, ajout du cryptage

Selon la société de cybersécurité Sekoia, les créateurs de l'outil d'attaque DDoSia ont introduit une nouvelle version qui intègre une méthode différente pour obtenir la liste des cibles à bombarder de requêtes HTTP indésirables. La variante mise à jour, écrite en Golang, comprend une mesure de sécurité supplémentaire pour dissimuler la liste des cibles transmise de la commande et du contrôle aux utilisateurs.

Sekoia a mentionné que DDoSia est attribué à un groupe de hackers pro-russe connu sous le nom de NoName(057)16. Initialement lancé en 2022 en tant que successeur du botnet Bobik, DDoSia est conçu pour mener des attaques par déni de service distribuées ciblant principalement des emplacements en Europe, en Australie, au Canada et au Japon.

Les attentats de l'été 2023 ciblent des pays européens

Entre le 8 mai et le 26 juin 2023, les pays les plus touchés par les attaques DDoSia ont été la Lituanie, l'Ukraine, la Pologne, l'Italie, la Tchéquie, le Danemark, la Lettonie, la France, le Royaume-Uni et la Suisse. Au total, 486 sites Web différents ont subi l'impact.

DDoSia a été implémenté dans Python et Go, ce qui en fait un programme multiplateforme capable de fonctionner sur les systèmes Windows, Linux et macOS. SentinelOne, dans une analyse publiée en janvier 2023, a décrit DDoSia comme une application multithread qui effectue des attaques par déni de service en envoyant à plusieurs reprises des requêtes réseau basées sur des instructions reçues d'un fichier de configuration obtenu à partir d'un serveur C2.

La distribution de DDoSia se fait via un processus automatisé sur Telegram, où les individus peuvent s'inscrire à l'initiative participative en effectuant un paiement en crypto-monnaie et en recevant une archive ZIP contenant la boîte à outils d'attaque.

L'aspect notable de la nouvelle version est l'utilisation du cryptage pour obscurcir la liste des cibles à attaquer, suggérant que les opérateurs maintiennent activement l'outil.

Pourquoi Golang est-il devenu un outil populaire parmi les développeurs de logiciels malveillants ?

Golang, également connu sous le nom de Go, a gagné en popularité en tant que langage de programmation pour le développement de logiciels malveillants en raison de plusieurs facteurs. Voici une réponse paraphrasée :

Golang, ou Go, est devenu un choix populaire pour développer des logiciels malveillants pour plusieurs raisons. Premièrement, Go offre une syntaxe claire et concise, facile à comprendre et à écrire, ce qui en fait une option attrayante pour les développeurs, y compris ceux qui ont des intentions malveillantes. Sa simplicité et son efficacité permettent un développement et un déploiement rapides de logiciels malveillants.

De plus, Go fournit des fonctionnalités intégrées qui contribuent à la furtivité et à la résilience des logiciels malveillants. Par exemple, il offre une forte prise en charge de la simultanéité, permettant aux logiciels malveillants d'effectuer plusieurs tâches simultanément, ce qui les rend plus difficiles à détecter et à atténuer. Go offre également des capacités de mise en réseau robustes, qui sont essentielles pour que les logiciels malveillants communiquent avec des serveurs de commande et de contrôle ou effectuent diverses activités malveillantes.

Un autre facteur contribuant à la popularité de Go dans le développement de logiciels malveillants est sa capacité à se compiler en binaires autonomes. Cela signifie que les logiciels malveillants écrits en Go ne nécessitent pas de dépendances externes ou d'environnements d'exécution, ce qui les rend plus portables et plus faciles à distribuer sur différents systèmes d'exploitation sans problèmes de compatibilité.