È emerso un nuovo malware basato su Go, chiamato JaskaGO, che rappresenta l’ultima minaccia cross-platform in grado di infiltrarsi sia nei sistemi Windows che Apple macOS. La scoperta, fatta da AT&T Alien Labs, rivela che il malware è “dotato di un vasto array di comandi dal suo server di comando e controllo (C&C)”.
Tattiche di Infiltrazione e Funzionalità
I primi artefatti progettati per macOS sono stati osservati nel luglio 2023, camuffati da installer per software legittimi come CapCut. Altre varianti del malware si sono mascherate da AnyConnect e strumenti di sicurezza. Una volta installato, JaskaGO verifica se è in esecuzione all’interno di un ambiente di macchina virtuale (VM) e, in tal caso, esegue un compito innocuo come il ping a Google o la stampa di un numero casuale, probabilmente per evitare di essere rilevato.
In altri scenari, JaskaGO procede al furto di informazioni dal sistema vittima e stabilisce una connessione con il suo C&C per ricevere ulteriori istruzioni, inclusa l’esecuzione di comandi shell, l’enumerazione dei processi in esecuzione e il download di payload aggiuntivi. È anche in grado di modificare gli appunti per facilitare il furto di criptovalute sostituendo gli indirizzi dei portafogli e sottraendo file e dati dai browser web.
Persistenza e Distribuzione
“Su macOS, JaskaGO impiega un processo multi-step per stabilire la persistenza all’interno del sistema”, ha detto il ricercatore di sicurezza Ofer Caspi, delineando le sue capacità di eseguirsi con permessi di root, disabilitare le protezioni Gatekeeper e creare un daemon di avvio personalizzato (o agente di avvio) per garantire che venga automaticamente lanciato all’avvio del sistema.
Attualmente non è noto come il malware venga distribuito e se implichi esche di phishing o malvertising. L’entità della campagna rimane ancora poco chiara.
Conclusione e Tendenze
“JaskaGO contribuisce a una crescente tendenza nello sviluppo di malware che sfruttano il linguaggio di programmazione Go”, ha affermato Caspi. “Go, noto anche come Golang, è riconosciuto per la sua semplicità, efficienza e capacità cross-platform. La sua facilità d’uso lo ha reso una scelta attraente per gli autori di malware che cercano di creare minacce versatili e sofisticate.”