DDoSia Malware oppdatert, legger til kryptering

I følge nettsikkerhetsselskapet Sekoia har skaperne av DDoSia-angrepsverktøyet introdusert en ny versjon som inneholder en annen metode for å få tak i listen over mål som skal bombarderes med useriøse HTTP-forespørsler. Den oppdaterte varianten, skrevet i Golang, inkluderer et ekstra sikkerhetstiltak for å skjule den overførte listen over mål fra kommando-og-kontroll til brukerne.

Sekoia nevnte at DDoSia tilskrives en pro-russisk hackergruppe kjent som NoName(057)16. DDoSia ble opprinnelig lansert i 2022 som en etterfølger av Bobik-botnettet, og er designet for å utføre distribuerte tjenestenektangrep primært rettet mot steder i Europa, Australia, Canada og Japan.

Angrep sommeren 2023 rettet mot europeiske land

I perioden mellom 8. mai og 26. juni 2023 var landene som ble mest berørt av DDoSia-angrep Litauen, Ukraina, Polen, Italia, Tsjekkia, Danmark, Latvia, Frankrike, Storbritannia og Sveits. Totalt 486 forskjellige nettsteder opplevde virkningen.

DDoSia er implementert i Python and Go, noe som gjør det til et program på tvers av plattformer som kan fungere på Windows, Linux og macOS-systemer. SentinelOne, i en analyse publisert i januar 2023, beskrev DDoSia som en flertrådsapplikasjon som utfører tjenestenektangrep ved gjentatte ganger å sende nettverksforespørsler basert på instruksjoner mottatt fra en konfigurasjonsfil hentet fra en C2-server.

Distribusjonen av DDoSia skjer gjennom en automatisert prosess på Telegram, der enkeltpersoner kan registrere seg for crowdsource-initiativet ved å foreta en kryptovalutabetaling og motta et ZIP-arkiv som inneholder angrepsverktøysettet.

Det bemerkelsesverdige aspektet ved den nye versjonen er bruken av kryptering for å skjule listen over mål som skal angripes, noe som antyder at operatørene aktivt vedlikeholder verktøyet.

Hvorfor har Golang blitt et populært verktøy blant skadevareutviklere?

Golang, også kjent som Go, har vunnet popularitet som et programmeringsspråk for å utvikle skadelig programvare på grunn av flere faktorer. Her er et omskrevet svar:

Golang, eller Go, har dukket opp som et populært valg for å utvikle skadelig programvare på grunn av flere årsaker. For det første tilbyr Go en ren og konsis syntaks som er lett å forstå og skrive, noe som gjør det til et attraktivt alternativ for utviklere, inkludert de med ondsinnet hensikt. Dens enkelhet og effektivitet muliggjør rask utvikling og distribusjon av skadelig programvare.

I tillegg har Go innebygde funksjoner som bidrar til stealth og motstandskraft til skadelig programvare. For eksempel tilbyr den sterk støtte for samtidighet, slik at skadelig programvare kan utføre flere oppgaver samtidig, noe som gjør det vanskeligere å oppdage og redusere. Go tilbyr også robuste nettverksfunksjoner, som er avgjørende for at malware skal kommunisere med kommando-og-kontrollservere eller utføre ulike ondsinnede aktiviteter.

En annen faktor som bidrar til populariteten til Go i utvikling av skadelig programvare er evnen til å kompilere til frittstående binærfiler. Dette betyr at skadevare skrevet i Go ikke krever eksterne avhengigheter eller kjøretidsmiljøer, noe som gjør det mer bærbart og enklere å distribuere på tvers av forskjellige operativsystemer uten kompatibilitetsproblemer.