Новая вредоносная программа для кражи информации на базе Go (часто также «Golang») – компилируемый многопоточный язык программирования, разработанный внутри компании Google. Официально язык был представлен в ноябре 2009 года. На данный момент поддержка официального компилятора, разрабатываемого создателями языка, осуществляется для операционных систем FreeBSD, OpenBSD, Linux, macOS, Windows, DragonFly BSD, Plan 9, Solaris, Android, AIX.
» data-html=»true» data-original-title=»Golang»>Golang, получившая название Titan Stealer, рекламируется злоумышленниками через их собственный канал в мессенджере Telegram.
«Похититель способен красть различную информацию с зараженных компьютеров Windows, включая учетные данные из браузеров и крипто-кошельков, данные FTP-клиента, скриншоты, системную информацию и пользовательские файлы», — говорится в недавнем отчете исследователей безопасности компании Uptycs – компания, которая предоставляет унифицированные решения для защиты облачных и конечных точек. Компания предлагает решения для управления состоянием облачной безопасности (CSPM), расширенного обнаружения и реагирования (XDR), аудита и обеспечения соответствия требованиям.
» data-html=»true» data-original-title=»Uptycs»>Uptycs.
Авторы Titan предлагают своё творение в виде конструктора, позволяющего клиентам настраивать двоичный файл вредоносного ПО с учетом конкретных функций и типа информации, которую необходимо извлечь с компьютера жертвы.
Вредоносная программа после активации использует метод, известный как «выдалбливание процесса» ( Process Hollowing ), для внедрения вредоносной полезной нагрузки в память процесса AppLaunch.exe, который представляет собой утилиту запуска Microsoft .NET ClickOnce.
Titan Stealer может похищать данные из большинства современных браузеров, таких как Google Chrome, Mozilla Firefox, Microsoft Edge, Яндекс Браузер, Opera, Brave, Vivaldi, 7 Star Browser, Iridium Browser и другие. А также из крипто-кошельков Armory, Atomic, Bytecoin, Coinomi, Edge Wallet, Ethereum, Exodus, Guarda, Jaxx Liberty и Zcash.
Titan также способен собирать список установленных приложений на взломанном хосте и захватывать данные, связанные с настольным приложением Telegram.
Собранная информация впоследствии передается на удаленный сервер под контролем злоумышленника в виде архивного файла в кодировке Base64. Кроме того, вредоносная программа поставляется с веб-интерфейсом, который позволяет злоумышленникам получить доступ к украденным данным.
Точный метод распространения вредоносного ПО пока неясен, но традиционно злоумышленники используют ряд методов, такие как фишинг, вредоносная реклама и взломанное программное обеспечение.
«Одна из основных причин, по которой злоумышленники хотят использовать Golang в своих вредоносных программах для кражи информации, заключается в том, что этот язык позволяет им легко создавать кроссплатформенные вредоносные программы, способные работать сразу на нескольких операционных системах, таких как Windows, Linux и macOS. Кроме того, двоичные файлы, скомпилированные Go, имеют небольшой размер, что затрудняет их обнаружение программным обеспечением безопасности», — говорится в отчёте компании Cyble Inc. — компания, которая занимается обеспечением интернет-безопасности. Она предлагает решения для защиты от киберугроз, включая их мониторинг, обнаружение и анализ. Компания использует искусственный интеллект и машинное обучение для анализа большого объема данных и обнаружения уязвимостей. Cyble консультирует своих клиентов, как бороться с интернет-угрозами, а также помогает в восстановлении данных после успешных кибератак.