کمیته رکن چهارم – یک بدافزار جدید سارق اطلاعات مبتنی بر زبان Go به نام JaskaGO بهعنوان جدیدترین و بهروزترین تهدید بین پلتفرمی برای نفوذ به سیستمهای Windows و MacOS اپل ظاهر شده است.
مجموعه AT&T Alien Labs که این کشف را انجام داد، گفت که این بدافزار به مجموعه وسیعی از دستورات از سرور command-and-control (C&C) خود مجهز شده است.
موارد طراحی شده برای macOS برای اولینبار در جولای ٢٠٢٣ مشاهده شدند و در حال جعل هویت نصبکنندگان نرمافزارهای قانونی مانند CapCut بودند. انواع دیگر این بدافزار بهعنوان AnyConnect و ابزارهای امنیتی ظاهر شدهاند.
پس از نصب، JaskaGO بررسیهایی را برای تعیین اینکه آیا در یک محیط ماشین مجازی (VM) اجرا میشود، انجام میدهد، و اگر اینطور باشد، یک عمل بیضرر مانند پینگ کردن گوگل یا پرینت یک عدد تصادفی در راستای تلاش احتمالی برای فعالیت بدون امکان شناسایی را اجرا میکند.
در سناریوهای دیگر، JaskaGO اقدام به جمعآوری اطلاعات از سیستم قربانی میکند و برای دریافت دستورالعملهای بیشتر، ازجمله اجرای دستورات shell، شمارش فرآیندهای در حال اجرا و دانلود payloadهای اضافی، با C&C خود ارتباط برقرار میکند.
همچنین میتواند کلیپ بورد را برای تسهیل سرقت رمزارزها با جایگزینی آدرسهای والت و سیفون کردن فایلها و دادهها از مرورگرهای وب، تغییر دهد.
اوفر کاسپی، محقق امنیتی، گفت: “در macOS، بدافزار JaskaGO از یک فرآیند چند مرحلهای برای ایجاد پایداری در سیستم استفاده میکند”. وی افزود که بدافزار تواناییهای لازم را برای اجرای خود با مجوزها و دسترسیهای روت، غیرفعال کردن حفاظتهای Gatekeeper و ایجاد یک راهانداز سفارشی (یا عامل راهاندازی) برای اطمینان از راهاندازی خودکار آن در هنگام راهاندازی سیستم، دارد.
در حال حاضر مشخص نیست که این بدافزار چگونه توزیع میشود و آیا این بدافزار مستلزم فریبهای لازم برای فیشینگ یا تبلیغات مخرب است. همچنین، ابعاد این کمپین هنوز نامشخص است.
کاسپی گفت: “JaskaGO به روند روبهرشد توسعه بدافزار با استفاده از زبان برنامهنویسی Go کمک میکند”.
زبان Go، که با نام Golang نیز شناخته میشود، به دلیل سادگی، کارایی و قابلیتهای چند پلتفرمی آن شناخته میشود. سهولت استفاده آن نیز، این زبان را به گزینهای جذاب برای برنامهنویسان بدافزار تبدیل کرده است که بهدنبال ایجاد تهدیدات همهکاره و پیچیده هستند.
منبع: تاکیان