Lo que necesita saber sobre el malware basado en Golang

Golang se está convirtiendo en el lenguaje de programación elegido por muchos desarrolladores de malware. Según la firma de ciberseguridad Intezer, ha habido un aumento de casi el 2000 por ciento en la cantidad de cepas de malware basadas en Go encontradas en la naturaleza desde 2017.

Se espera que el número de ataques que utilizan este tipo de malware aumente en los próximos años. Lo más alarmante es que estamos viendo muchos actores de amenazas que se dirigen a múltiples sistemas operativos con tensiones de una única base de código de Go.

Aquí encontrará todo lo que necesita saber sobre esta amenaza emergente.

¿Qué es Golang?

Go (también conocido como Golang) es un lenguaje de programación de código abierto que aún es relativamente nuevo. Fue desarrollado por Robert Griesemer, Rob Pike y Ken Thompson en Google en 2007, aunque solo se presentó oficialmente al público en 2009.

Fue desarrollado como una alternativa a C ++ y Java. El objetivo era crear algo con lo que fuera sencillo trabajar y fácil de leer para los desarrolladores.

Relacionado: Aprenda el idioma de Android con esta capacitación para desarrolladores de Google Go

¿Por qué los ciberdelincuentes utilizan Golang?

Hay miles de malware basado en Golang en la actualidad. Tanto las bandas de piratería patrocinadas por el estado como las no patrocinadas por el estado lo han estado utilizando para producir una serie de cepas, incluidos los troyanos de acceso remoto (RAT), ladrones, mineros de monedas y redes de bots, entre muchos otros.

Lo que hace que este tipo de malware sea más potente es la forma en que puede apuntar a Windows, macOS y Linux utilizando la misma base de código. Esto significa que un desarrollador de malware puede escribir código una vez y luego usar esta única base de código para compilar binarios para múltiples plataformas. Mediante enlaces estáticos, un código escrito por un desarrollador para Linux puede ejecutarse en Mac o Windows.

Hemos visto mineros criptográficos basados ​​en go que se dirigen tanto a máquinas Windows como Linux, así como a ladrones de criptomonedas multiplataforma con aplicaciones troyanas que se ejecutan en dispositivos macOS, Windows y Linux.

Aparte de esta versatilidad, las variedades escritas en Go también han demostrado ser muy sigilosas.

Muchos se han infiltrado en los sistemas sin ser detectados, principalmente porque el malware escrito en Go es grande. También debido a la vinculación estática, los binarios en Go son relativamente más grandes en comparación con los de otros lenguajes. Muchos servicios de software antivirus no están equipados para escanear archivos tan voluminosos.

Además, es más difícil para la mayoría de los antivirus encontrar código sospechoso en el binario de Go, ya que se ven muy diferentes bajo un depurador en comparación con otros escritos en lenguajes más convencionales.

No ayuda que las características de este lenguaje de programación hagan que los binarios de Go sean aún más difíciles de analizar y realizar ingeniería inversa.

Si bien muchas herramientas de ingeniería inversa están bien equipadas para analizar binarios compilados a partir de C o C ++, los binarios basados ​​en Go todavía presentan nuevos desafíos para los ingenieros inversos. Esto ha mantenido las tasas de detección del malware Golang notablemente bajas.

Cepas de malware basadas en Go y vectores de ataque

Antes de 2019, la detección de malware escrito en Go puede haber sido poco común, pero en los últimos años ha habido un aumento constante de las desagradables cepas de malware basadas en Go.

Un investigador de malware ha encontrado alrededor de 10.700 cepas de malware únicas escritas en Go in the wild. Los más frecuentes son las RAT y las puertas traseras, pero en los últimos meses también hemos visto una gran cantidad de ransomware insidioso escrito en Go.

ElectroRAT

Uno de esos ladrones de información escrito en Golang es el extremadamente intrusivo ElectroRAT. Si bien hay muchos de estos desagradables ladrones de información, lo que hace que este sea más insidioso es cómo se dirige a múltiples sistemas operativos.

La campaña ElectroRAT, descubierta en diciembre de 2020, presenta malware multiplataforma basado en Go que tiene un arsenal de capacidades viciosas compartidas por su variante de Linux, macOS y Windows.

Este malware es capaz de registrar teclas, tomar capturas de pantalla, cargar archivos desde discos, descargar archivos y ejecutar comandos, además de su objetivo final de agotar las billeteras de criptomonedas.

Relacionado: Malware ElectroRAT dirigido a carteras de criptomonedas

La extensa campaña que se cree que pasó desapercibida durante un año implicó tácticas aún más elaboradas.

Esto último incluyó la creación de un sitio web falso y cuentas de redes sociales falsas, creando tres aplicaciones independientes infectadas con troyanos relacionadas con la criptomoneda (cada una dirigido a Windows, Linux y macOS), promocionando las aplicaciones contaminadas en foros de criptografía y blockchain como Bitcoin Talk, y atrayendo a las víctimas a las aplicaciones troyanizadas páginas web.

Una vez que un usuario descarga y luego ejecuta la aplicación, se abre una GUI mientras el malware se infiltra en segundo plano.

RobbinHood

Esta ransomware siniestro llegó a los titulares en 2019 después de paralizar los sistemas informáticos de la ciudad de Baltimore.

Los ciberdelincuentes detrás de la cepa Robbinhood exigieron 76.000 dólares para descifrar los archivos. Los sistemas del gobierno estuvieron fuera de línea y fuera de servicio durante casi un mes y, según se informa, la ciudad gastó $ 4.6 millones iniciales para recuperar los datos en las computadoras afectadas.

Los daños debidos a la pérdida de ingresos pueden haberle costado más a la ciudad, hasta $ 18 millones según otras fuentes.

Originalmente codificado en el lenguaje de programación Go, el ransomware Robbinhood encriptaba los datos de la víctima y luego agregaba los nombres de los archivos comprometidos con la extensión .Robbinhood. Luego colocó un archivo ejecutable y un archivo de texto en el escritorio. El archivo de texto era la nota de rescate con las demandas de los atacantes.

Zebrocy

En 2020, el operador de malware Sofacy desarrolló una variante de Zebrocy que está escrita en Go.

La cepa se hizo pasar por un documento de Microsoft Word y se difundió mediante señuelos de phishing COVID-19. Funcionó como un descargador que recopilaba datos del sistema del host infectado y luego los cargaba en el servidor de comando y control.

Relacionado: Tenga cuidado con estas 8 estafas cibernéticas COVID-19

El arsenal de Zebrocy, compuesto por cuentagotas, puertas traseras y descargadores, se ha utilizado durante muchos años. Pero su variante Go solo se descubrió en 2019.

Fue desarrollado por grupos de ciberdelincuencia respaldados por el estado y anteriormente se ha dirigido a ministerios de relaciones exteriores, embajadas y otras organizaciones gubernamentales.

Más malware de Golang en el futuro

El malware basado en Go está ganando popularidad y continuamente se está convirtiendo en el lenguaje de programación de referencia para los actores de amenazas. Su capacidad para apuntar a múltiples plataformas y permanecer sin ser detectado durante mucho tiempo lo convierte en una amenaza seria que merece atención.

Eso significa que vale la pena destacar que debe tomar precauciones básicas contra el malware. No haga clic en ningún enlace sospechoso ni descargue archivos adjuntos de correos electrónicos o sitios web, incluso si provienen de su familia y amigos (que ya pueden estar infectados).

¿Puede la ciberseguridad mantenerse al día? El futuro del malware y el antivirus

El malware está en constante evolución, lo que obliga a los desarrolladores de antivirus a mantener el ritmo. El malware sin archivos, por ejemplo, es esencialmente invisible, entonces, ¿cómo podemos defendernos de él?

Sobre el Autor