Malware DDoSia aggiornato, aggiunta della crittografia

Secondo la società di sicurezza informatica Sekoia, i creatori dello strumento di attacco DDoSia hanno introdotto una nuova versione che incorpora un metodo diverso per ottenere l'elenco degli obiettivi da bombardare con richieste HTTP spazzatura. La variante aggiornata, scritta in Golang, include un'ulteriore misura di sicurezza per nascondere l'elenco di obiettivi trasmesso dal comando e controllo agli utenti.

Sekoia ha affermato che DDoSia è attribuito a un gruppo di hacker filo-russo noto come NoName(057)16. Lanciato inizialmente nel 2022 come successore della botnet Bobik, DDoSia è progettato per condurre attacchi denial-of-service distribuiti che prendono di mira principalmente località in Europa, Australia, Canada e Giappone.

Gli attacchi dell'estate 2023 prendono di mira i paesi europei

Nel periodo compreso tra l'8 maggio e il 26 giugno 2023, i paesi più colpiti dagli attacchi DDoSia sono stati Lituania, Ucraina, Polonia, Italia, Cechia, Danimarca, Lettonia, Francia, Regno Unito e Svizzera. Un totale di 486 diversi siti web hanno subito l'impatto.

DDoSia è stato implementato in Python e Go, rendendolo un programma multipiattaforma in grado di funzionare su sistemi Windows, Linux e macOS. SentinelOne, in un'analisi pubblicata nel gennaio 2023, ha descritto DDoSia come un'applicazione multi-thread che esegue attacchi denial-of-service inviando ripetutamente richieste di rete basate su istruzioni ricevute da un file di configurazione ottenuto da un server C2.

La distribuzione di DDoSia avviene attraverso un processo automatizzato su Telegram, in cui le persone possono registrarsi all'iniziativa di crowdsourcing effettuando un pagamento in criptovaluta e ricevendo un archivio ZIP contenente il toolkit di attacco.

L'aspetto notevole della nuova versione è l'uso della crittografia per offuscare l'elenco degli obiettivi da attaccare, suggerendo che gli operatori mantengano attivamente lo strumento.

Perché Golang è diventato uno strumento popolare tra gli sviluppatori di malware?

Golang, noto anche come Go, ha guadagnato popolarità come linguaggio di programmazione per lo sviluppo di malware a causa di diversi fattori. Ecco una risposta parafrasata:

Golang, o Go, è emerso come una scelta popolare per lo sviluppo di malware per diversi motivi. Innanzitutto, Go offre una sintassi chiara e concisa facile da capire e da scrivere, rendendolo un'opzione interessante per gli sviluppatori, compresi quelli con intenti dannosi. La sua semplicità ed efficienza consentono un rapido sviluppo e distribuzione di malware.

Inoltre, Go fornisce funzionalità integrate che contribuiscono all'invisibilità e alla resilienza del malware. Ad esempio, offre un forte supporto per la concorrenza, consentendo al malware di eseguire più attività contemporaneamente, rendendone più difficile il rilevamento e l'attenuazione. Go offre anche solide funzionalità di rete, essenziali affinché il malware comunichi con i server di comando e controllo o svolga varie attività dannose.

Un altro fattore che contribuisce alla popolarità di Go nello sviluppo di malware è la sua capacità di compilare in binari autonomi. Ciò significa che il malware scritto in Go non richiede dipendenze esterne o ambienti di runtime, rendendolo più portabile e più facile da distribuire su diversi sistemi operativi senza problemi di compatibilità.