GoBruteforcer Malware retter seg mot mange plattformer

Forskere fra Palo Altos Unit 42 har nylig avdekket en ny form for skadelig programvare som er basert på Golang. Kalt som GoBruteforcer, retter denne skadevaren seg mot webservere som kjører tjenester som FTP, MySQL, phpMyAdmin og Postgres. Forskningen indikerer at angriperen har distribuert binærfiler for x86-, x64- og ARM-prosessorarkitekturer. I tillegg bruker skadevaren en klasseløs integer domain routing (CIDR) blokkskanneteknikk for å få tilgang til et bredt spekter av målverter på forskjellige IP-er i stedet for en enkelt IP-adresse.

Hovedmålet med GoBruteforcer er å målrette mot Unix-lignende plattformer med x86-, x64- og ARM-arkitekturer. Skadevaren bruker brute-force-angrep med hardkodet legitimasjon for å få tilgang til målet. Når den er vellykket, installerer skadelig programvare en internet relay chat (IRC) bot på offerets server, slik at den kan kommunisere med angriperens server. GoBruteforcer bruker også et allerede installert PHP-nettskall på offerserveren for å få flere detaljer om det målrettede nettverket.

Imidlertid er den første inntrengningsvektoren for GoBruteforcer og PHP-nettskallet fortsatt ukjent, og skadevaren ser ut til å være under aktiv utvikling for å unngå oppdagelse. Disse funnene fremhever hvordan Golang i økende grad blir et foretrukket valg for trusselaktører for å utvikle skadelig programvare på tvers av plattformer. Dessuten gjør GoBruteforcers multiskanningsevne den til en betydelig trussel ettersom den kan bryte et bredt sett med mål.

Hvorfor er Golang et foretrukket utviklingsverktøy for mange skadevareprodusenter?

Golang er et foretrukket utviklingsverktøy for mange skadevareprodusenter på grunn av sin evne til å lage høyytelses- og tverrplattformapplikasjoner. Golang er et åpen kildekode programmeringsspråk som er enkelt å lære og gir et robust sett med funksjoner for å bygge skalerbare applikasjoner.

En av hovedfordelene med Golang er dens evne til å lage binære kjørbare filer som kan kjøres på flere plattformer uten å kreve installasjon av ytterligere avhengigheter. Dette gjør det enklere for utviklere av skadelig programvare å lage skadelig programvare som kan kjøres på ulike systemer, inkludert Windows, macOS og Linux.

Videre har Golang utmerket støtte for samtidighet, noe som lar skadevareprodusenter lage svært effektiv og skalerbar skadelig programvare. Denne funksjonen er avgjørende i sammenheng med skadelig programvare, ettersom mange skadevarestammer er utviklet for å spre seg raskt og infisere så mange systemer som mulig.

Til slutt har Golang en relativt enkel syntaks, som gjør det lettere for utviklere å lage og endre kode raskt. Denne funksjonen er viktig for produsenter av skadelig programvare, siden de må oppdatere og endre skadelig programvare ofte for å unngå oppdagelse av antivirusprogramvare.

Oppsummert er Golang et foretrukket utviklingsverktøy for skadevareprodusenter på grunn av dets evner på tvers av plattformer, støtte for samtidighet og enkelhet i bruk, som muliggjør rask utvikling og modifikasjon av kode.