Malware DDoSia atualizado, adicionando criptografia

De acordo com a empresa de segurança cibernética Sekoia, os criadores da ferramenta de ataque DDoSia apresentaram uma nova versão que incorpora um método diferente para obter a lista de alvos a serem bombardeados com solicitações HTTP indesejadas. A variante atualizada, escrita em Golang, inclui uma medida de segurança adicional para ocultar a lista de alvos transmitida do comando e controle para os usuários.

Sekoia mencionou que o DDoSia é atribuído a um grupo de hackers pró-Rússia conhecido como NoName(057)16. Lançado inicialmente em 2022 como sucessor do botnet Bobik, o DDoSia foi projetado para conduzir ataques distribuídos de negação de serviço visando principalmente locais na Europa, Austrália, Canadá e Japão.

Ataques do verão de 2023 visam países europeus

Durante o período entre 8 de maio e 26 de junho de 2023, os países mais afetados por ataques DDoSia foram Lituânia, Ucrânia, Polônia, Itália, República Tcheca, Dinamarca, Letônia, França, Reino Unido e Suíça. Um total de 486 sites diferentes experimentaram o impacto.

O DDoSia foi implementado em Python e Go, tornando-o um programa de plataforma cruzada capaz de funcionar em sistemas Windows, Linux e macOS. O SentinelOne, em uma análise publicada em janeiro de 2023, descreveu o DDoSia como um aplicativo multithread que realiza ataques de negação de serviço enviando repetidamente solicitações de rede com base em instruções recebidas de um arquivo de configuração obtido de um servidor C2.

A distribuição do DDoSia ocorre por meio de um processo automatizado no Telegram, onde os indivíduos podem se registrar para a iniciativa de crowdsourcing fazendo um pagamento em criptomoeda e recebendo um arquivo ZIP contendo o kit de ferramentas do ataque.

O destaque da nova versão é o uso de criptografia para ofuscar a lista de alvos a serem atacados, sugerindo que os operadores mantenham ativamente a ferramenta.

Por que o Golang se tornou uma ferramenta popular entre os desenvolvedores de malware?

Golang, também conhecido como Go, ganhou popularidade como linguagem de programação para o desenvolvimento de malware devido a vários fatores. Aqui está uma resposta parafraseada:

Golang, ou Go, surgiu como uma escolha popular para o desenvolvimento de malware devido a vários motivos. Primeiro, Go oferece uma sintaxe limpa e concisa que é fácil de entender e escrever, tornando-se uma opção atraente para desenvolvedores, incluindo aqueles com intenções maliciosas. Sua simplicidade e eficiência permitem rápido desenvolvimento e implantação de malware.

Além disso, o Go fornece recursos integrados que contribuem para a discrição e resiliência do malware. Por exemplo, oferece forte suporte para simultaneidade, permitindo que o malware execute várias tarefas simultaneamente, dificultando sua detecção e mitigação. O Go também oferece recursos robustos de rede, essenciais para que o malware se comunique com servidores de comando e controle ou realize várias atividades maliciosas.

Outro fator que contribui para a popularidade do Go no desenvolvimento de malware é sua capacidade de compilar em binários independentes. Isso significa que o malware escrito em Go não requer dependências externas ou ambientes de tempo de execução, tornando-o mais portátil e fácil de distribuir em diferentes sistemas operacionais sem problemas de compatibilidade.