GoBruteforcer-malware richt zich op veel platforms

Onderzoekers van Unit 42 van Palo Alto hebben onlangs een nieuwe vorm van malware ontdekt die gebaseerd is op Golang. Deze malware, ook wel GoBruteforcer genoemd, richt zich op webservers die services uitvoeren zoals FTP, MySQL, phpMyAdmin en Postgres. Het onderzoek geeft aan dat de aanvaller binaire bestanden heeft geïmplementeerd voor x86-, x64- en ARM-processorarchitecturen. Bovendien gebruikt de malware een classless integer domain routing (CIDR) blokscantechniek om toegang te krijgen tot een breed scala aan doelhosts op verschillende IP's in plaats van een enkel IP-adres.

Het primaire doel van GoBruteforcer is zich te richten op Unix-achtige platforms met x86-, x64- en ARM-architecturen. De malware maakt gebruik van brute force-aanvallen met hardcoded inloggegevens om toegang te krijgen tot het doelwit. Eenmaal succesvol, installeert de malware een Internet Relay Chat (IRC) bot op de server van het slachtoffer, waardoor deze kan communiceren met de server van de aanvaller. GoBruteforcer maakt ook gebruik van een reeds geïnstalleerde PHP-webshell op de server van het slachtoffer om meer details over het beoogde netwerk te verkrijgen.

De initiële intrusievector voor GoBruteforcer en de PHP-webshell is echter nog onbekend en de malware lijkt actief te worden ontwikkeld om detectie te omzeilen. Deze bevindingen laten zien hoe Golang steeds meer de voorkeurskeuze wordt van bedreigingsactoren om platformonafhankelijke malware te ontwikkelen. Bovendien vormt de multi-scanmogelijkheid van GoBruteforcer een aanzienlijke bedreiging, omdat het een breed scala aan doelen kan doorbreken.

Waarom is Golang een favoriete ontwikkelingstool voor veel malwaremakers?

Golang is een favoriete ontwikkelingstool voor veel malwaremakers vanwege het vermogen om krachtige en platformonafhankelijke applicaties te maken. Golang is een open-source programmeertaal die gemakkelijk te leren is en een robuuste set functies biedt voor het bouwen van schaalbare applicaties.

Een van de belangrijkste voordelen van Golang is de mogelijkheid om binaire uitvoerbare bestanden te maken die op meerdere platforms kunnen worden uitgevoerd zonder dat er extra afhankelijkheden nodig zijn. Dit maakt het voor malware-ontwikkelaars gemakkelijker om malware te maken die op verschillende systemen kan worden uitgevoerd, waaronder Windows, macOS en Linux.

Bovendien biedt Golang uitstekende ondersteuning voor concurrency, waardoor malwaremakers zeer efficiënte en schaalbare malware kunnen maken. Deze functie is cruciaal in de context van malware, aangezien veel malwarestammen zijn ontworpen om zich snel te verspreiden en zoveel mogelijk systemen te infecteren.

Ten slotte heeft Golang een relatief eenvoudige syntaxis, waardoor het voor ontwikkelaars gemakkelijker wordt om snel code te maken en aan te passen. Deze functie is essentieel voor makers van malware, omdat ze hun malware regelmatig moeten bijwerken en wijzigen om detectie door antivirussoftware te omzeilen.

Samengevat, Golang is een favoriete ontwikkelingstool voor malwaremakers vanwege de platformonafhankelijke mogelijkheden, ondersteuning voor gelijktijdigheid en eenvoud in gebruik, waardoor code snel kan worden ontwikkeld en gewijzigd.