JaskaGOیک بدافزار جدید دزد اطلاعات مبتنی بر Go به نام JaskaGO به‌عنوان آخرین تهدید بین پلتفرمی برای نفوذ به سیستم‌های ویندوز و MacOS Apple ظاهر شده است.

AT&T Alien Labs که این کشف را انجام داد، گفت[۱] که این بدافزار به مجموعه وسیعی از دستورات از سرور فرمان و کنترل (C&C) خود مجهز شده است.

مصنوعات طراحی شده برای macOS برای اولین‌بار در ژوئیه ۲۰۲۳ مشاهده شدند و جعل هویت نصب کنندگان نرم افزارهای قانونی مانند CapCut بودند. انواع دیگر این بدافزار به عنوان AnyConnect و ابزارهای امنیتی ظاهر شده اند.

پس از نصب، JaskaGO بررسی‌هایی را برای تعیین اینکه آیا در یک محیط ماشین مجازی (VM) اجرا می‌شود یا خیر، انجام می‌دهد و اگر چنین است، یک کار بی‌ضرر مانند پینگ کردن گوگل یا چاپ یک عدد تصادفی در تلاش احتمالی برای پرواز در زیر رادار را اجرا می‌کند.

در سناریوهای دیگر، JaskaGO اقدام به جمع‌آوری اطلاعات از سیستم قربانی می‌کند و برای دریافت دستورالعمل‌های بیشتر، از جمله اجرای دستورات پوسته، شمارش فرایندهای در حال اجرا، و بارگیری payloadهای اضافی، با C&C خود ارتباط برقرار می‌کند.

همچنین این بدافزار قادر است کلیپ بورد را برای تسهیل سرقت ارزهای دیجیتال با جایگزینی آدرس‌های کیف پول و siphon کردن فایل‌ها و داده‌ها از مرورگرهای وب تغییر دهد.

Ofer Caspi، محقق امنیتی، گفت: «در macOS، JaskaGO از یک فرایند چندمرحله‌ای شامل تشریح قابلیت‌های خود برای اجرای خود با مجوزهای ریشه، غیرفعال‌کردن حفاظت‌های [۲]Gatekeeper و ایجاد یک راه‌انداز سفارشی[۳] (عامل راه‌اندازی) برای ایجاد پایداری در سیستم برای اطمینان از راه‌اندازی خودکار آن در هنگام راه‌اندازی سیستم استفاده می‌کند.»

در حال حاضر مشخص نیست که این بدافزار چگونه توزیع می‌شود و آیا این بدافزار مستلزم فریب‌های فیشینگ یا تبلیغات بد است و ابعاد این کمپین هنوز نامشخص است.

کاسپی گفت: “JaskaGO به روند روبه‌رشد توسعه بدافزار با استفاده از زبان برنامه‌نویسی Go کمک می‌کند.”

Go که با نام Golang نیز شناخته می‌شود، به دلیل سادگی، کارایی و قابلیت‌های چند پلتفرمی آن شناخته شده است. سهولت استفاده از آن، آن را به انتخابی جذاب برای نویسندگان بدافزار تبدیل کرده است که به دنبال ایجاد تهدیدات همه‌کاره و پیچیده هستند.

 

منابع

[۱] https://cybersecurity.att.com/blogs/labs-research/behind-the-scenes-jaskagos-coordinated-strike-on-macos-and-windows

[۲] https://thehackernews.com/2022/12/microsoft-details-gatekeeper-bypass.html

[۳] https://developer.apple.com/library/archive/documentation/MacOSX/Conceptual/BPSystemStartup/Chapters/CreatingLaunchdJobs.html

[۴] https://thehackernews.com/2023/12/new-go-based-jaskago-malware-targeting.html