کمیته رکن چهارم – نسخه جدید نرمافزار مخرب باج افزار که از Golang استفاده میکند منتشرشده است. این نشان میدهد که مجرمان اینترنتی از GoLang زبان برنامهنویسی برای اجرای اقدامات مخرب خود استفاده میکنند.
باج افزار CrowdStrike نمونهای از فشار جدید باج افزار را به دست آورده است که هنوز نامی برای آن ذکر نشده است. این نرمافزار مخرب دارای ویژگیهای مشابه FiveHands و DeathRansom / HelloKitty است. این انواع نرمافزارهای مخرب که گمان میرود از سال ۲۰۱۹ وجود داشته باشند، با حملات مختلف علیه سازمانهای سازمانی، CD Projekt Red و توسعهدهنده Cyberpunk 2077 همراه بوده است.
نمونه شناساییشده همان توابع را برای FiveHands و HelloKitty نشان میدهد و عناصر آن به زبان ++ C نوشتهشده است. بعلاوه، همچنین با دو نوع نحوه اجرای رمزگذاری پرونده توسط بدافزار و اختلافات در خط فرمان، مطابقت دارد. مشابه FiveHands، این نرمافزار مخرب جدید از یک بستهبندی عملی استفاده میکند و از یک کلید مقدار برای رمزگشایی بار مخرب خود برای ایجاد یک حافظه استفاده میکند.
همچنین از برگشت خط فرمان -key” استفاده میکند. به گفته کارشناسان CrowdStrike: “این روش استفاده از قطرهچکان فقط حافظه از شناسایی بار نهایی توسط راهحلهای امنیتی بدون کلید منحصربهفرد برای اجرای بستهبندی جلوگیری میکند.” هنوز، برخلاف FiveHands و HelloKitty، نسخه جدید باج افزار به بستهبندی مبتنی بر Go متکی است که بار نرمافزار مخرب C ++ خود را رمزگذاری میکند.
بسیاری از نرمافزارهای مخرب از Go قبل از ۲۰۱۹ استفاده نکردهاند. بااینحال، امروز زبان برنامهنویسی بهسرعت به یک گزینه موردعلاقه تبدیل میشود، زیرا تدوین کد برای چندین سیستمعامل را آسان و سریع میکند. بعلاوه، مهندسی معکوس تحت این زبان برنامهنویسی تقریباً غیرممکن است.
در چند سال اخیر نرخ نمونهها تقریباً ۲،۰۰۰٪ افزایشیافته است. نمونه Crowdstrike از جدیدترین نسخه Golang v.1.16 استفاده میکند که در فوریه ۲۰۲۱ راهاندازی شد. کارشناسان CrowdStrike میگویند:
اگرچه بدافزار و بستهبندیهای نوشتهشده توسط Golang چیز جدیدی نیست، اما تهیه آن با جدیدترین نسخه Golang رفع اشکال برای محققان بدافزار را به چالش میکشد. این به این دلیل است که تمام کتابخانههای لازم بهصورت ایستایی به هم پیوند خورده و در باینری کامپایلر گنجاندهشدهاند و بازیابی نام عملکرد دشوار است.
بهغیراز استفاده از Go، این نمونه شامل عملکردهای مخرب متمایز نرمافزاری، ازجمله قدرت رمزگذاری دیسکها و پروندهها قبل از درخواست پرداخت برای آزاد کردن یک کلید رمزگشایی است. یادداشت تقاضای پرداخت، قربانیان را به سمت آدرس Tor هدایت میکند تا درحالیکه ادعا میکند بیش از ۱ ترابهایت اطلاعات شخصی آنها را ضبط کرده است، مستقیماً با فروشندگان این نرمافزار مخرب گپ مستقیم بزنند.
غالباً، چنین تهدیدهایی میتواند بیانگر این باشد که توسعهدهندگان میتوانند باجگیری مضاعف را انجام دهند. اگر قربانی نتواند هزینه پرداخت کند، از فاش شدن اطلاعات شخصی خود میترسد. اخیراً، بخش تجزیهوتحلیل تهدیدات به لک بری گزارشی درباره یک نرمافزار مخرب جدید بانام Chachi منتشر کرده است.
باج افزار جدید به زبان برنامهنویسی GoLang نوشتهشده است. چای برای اولین بار در ابتدای سال ۲۰۲۰ شناسایی شد و فشار اولیه RAT (دسترسی از راه دور خروجان) بود و در نهادهای نفوذی دولت فرانسه مورداستفاده قرار گرفت که آخرین حمله به وزارت آموزشوپرورش ایالاتمتحده بود. کارشناسان BlackBerry خاطرنشان کردند : ازآنجاکه اینیک پدیده جدید است، ابزارهای اصلی برای فرآیند تجزیهوتحلیل هنوز در حال پیشرفت هستند. این میتواند Go را برای تجزیهوتحلیل چالشبرانگیزتر کند.
برخلاف اولین فشار ChaChi که از قابلیت و اجرای ضعیفی برخوردار بود، اکنون نرمافزار مخرب جدید میتواند فعالیتهای کلاسیک RAT مانند اکسفیلتراسیون دادهها و تولید درب پشتی و تخلیه اعتبارنامهها از طریق LSASS (سرویس زیرسیستم مرجع امنیت محلی ویندوز)، تونل DNS، موجودی شبکه، تولید خدمات، عملکرد جانبی در شبکهها و عملکرد پروکسی SOCKS. این نرمافزار مخرب همچنین از Golang برای سرقت اطلاعات استفاده میکند.
باج افزار Chachi نام خود را از Chashell و Chisel گرفته است، دو دستگاهی که نرمافزار مخرب از آنها برای اجرای حملات استفاده میکند. دستگاهها برای اهداف حمله سفارشی میشوند. Chashell یک کمککننده DNS در پوسته ضد شمارنده است، درحالیکه Chisel یک کانال انتقال پورت است.
کارشناسان بلک بری اطمینان دارند که این نرمافزار مخرب از PYSA / Mespinoza است. این گروه جنایتکار از سال ۲۰۱۸ فعالیت خود را آغاز کرده است که به دلیل متصل کردن درایوهای نرمافزار مخرب و استفاده از برنامههای افزودنی در بین مردم مشهور است.
منبع : خبرفارسی
