JaskaGO napada Windows i macOS sisteme

AUTOR ·

Novi zlonamjerni softver za krađu informacija zasnovan na Go programskom jeziku pod nazivom JaskaGO napada Windows i macOS sisteme i predstavlja ozbiljnu višeplatformsku prijetnju.

JaskaGO

JaskaGO napada Windows i macOS sisteme; Source: Bing Image Creator

JASKAGO ZLONAMJERNI SOFTVER

JaskaGO zlonamjerni softver, otkriven od strane sigurnosne kompanije AT&T Alien Labs, se pridružuje rastućem trendu u razvoju zlonamjernog softvera koji koristi programski jezik Go. Ovaj programski jezik poznat i pod nazivom Golang, prepoznat je po svojoj jednostavnosti, efikasnosti i višeplatformskim mogućnostima, pa ga je njegova jednostavnost upotrebe učinila atraktivnim izborom za autore zlonamjernog softvera koji žele da kreiraju svestrane i sofisticirane prijetnje.

Iako se macOS kod korisnika često doživljava kao bezbjedan operativni sistem, postoji preovlađujuća zabluda da je nepropustan za zlonamjerni softver. Istorijski gledano, ova zabluda je proistekla iz relativne oskudnosti prijetnji usmjerenih na macOS u poređenju sa drugim operativnim sistemima. Međutim, JaskaGO zlonamjerni softver služi kao dobar podsjetnik da su korisnici Windows i macOS operativnih sistema stalno izloženi riziku od napada zlonamjernog softvera.

Prvi uzorci ovog zlonamjernog softvera su se pojavili u julu 2023. godine, namijenjeni za macOS operativne sisteme. Nakon toga, otkriveno je još desetine novih uzoraka demonstrirajući evoluciju svojih mogućnosti i razvoja novih verzija za macOS i Windows operativne sisteme. Tokom analize sredinom ovog mjeseca, bila je primjetna niska stopa detekcije kod antivirusnih softvera za oba operativna sistema.

 

FUNKCIONISANJE

Ovaj zlonamjerni softver koristi razne tehnike obmane korisnika, izbjegavanja detekcije i okruženja za analizu zlonamjernih softvera.

 

Obmana

Prilikom početnog izvršavanja, zlonamjerni softver lukavo prikaže obmanjujući prozor sa porukom, o grešci, tvrdeći da datoteka nedostaje. Ovo je strateški osmišljeno da navede korisnika da povjeruje da zlonamjerni kôd nije uspeo da se pokrene.

 

Izbjegavanje virtuelnih mašina

JaskaGO zlonamjerni softver sprovodi temeljne provjere da bi utvrdio da li radi u okviru virtuelne mašine (VM). Ovaj proces počinje ispitivanjem opštih informacija o mašini, gdje se provjeravaju specifični kriterijumi kao što su broj procesora, vreme rada sistema, dostupna sistemska memorija i MAC adrese. Prisustvo MAC adresa povezanih sa poznatim softverom za virtuelizaciju, kao što su VMware ili VirtualBox, je ključni indikator na koji se ovaj zlonamjerni softver oslanja u svojoj analizi.

Ako zlonamjerni softver otkrije da radi u virtuelnom okruženju, nasumično izvršava bezopasne zadatke kao što su ping Google, kreiranje datoteke na radnoj površini, napravi listu datoteka na radnoj površini korisnika, napravi listu IP adresa i slično.

 

Kontrolni i komandni server

Ako ispitivanje opštih informacija o mašini pokaže da zlonamjerni softver nije pokrenut u virtuelnom okruženju, JaskaGO nastavlja da prikuplja informacije iz sistema žrtve i uspostavlja vezu sa svojim kontrolnim i komandnim serverom (C&C) za primanje daljih instrukcija, uključujući izvršavanje komandnog okruženja, nabrajanje pokrenutih procesa i preuzimanje dodatnih korisnih podataka.

 

KRAĐA PODATAKA

JaskaGO zlonamjerni softver je opremljen opsežnim mogućnostima eksfiltracije podataka. On skladišti dobijene podatke u posebno kreiranom direktorijumu, arhivira i šalje zlonamjernom akteru kada je spreman.

 

Internet pregledač

Zlonamjerni softver podrazumijevano ima podršku za krađu podataka iz pregledača Chrome i Firefox, ali se može konfigurisati da cilja i dodatne pregledače. Informacije koje ovaj zlonamjerni softver prikuplja obuhvataju akreditive snimljene u pregledaču, istoriju, datoteke i direktorijum: Cookies, cookies.sqlite, Network, key4.db i slično.

 

Kripoto valute

Zlonamjerni softver pretražuje dodatke kripto novčanika internet pregledače u direktorijumu sa ekstenzijama Local Extension Settings. Pored toga, podržava primanje liste novčanika koje treba tražiti i otpremanje na server.

 

Datoteke

Zlonamjerni softver JaskaGO može da dobije listu datoteka i direktorijuma za preuzimanje sa inficiranog uređaja.

 

MEHANIZMI POSTOJANOSTI

JaskaGO zlonamjerni softver može da obezbijedi postojanost i na Windows i macOS operativnim sistemima.

 

Windows

Na Windows operativnim sistemima, ovaj zlonamjerni softver uspostavlja postojanost korištenjem dva scenarija. U prvom scenariju zlonamjerni softver kreira servis i pokreće njegovo izvršavanje. U drugom scenariju ovaj zlonamjerni softver koristi neuobičajen način kreiranjem Windows Terminal profil datoteke. Datoteka je konfigurisana da se automatski pokreće zajedno sa operativnim sistemom, pokrećući PowerShell proces koji izvršava zlonamjerni softver.

 

macOS

Na macOS operativnim sistemima JaskaGO zlonamjerni softver koristi proces u više koraka za uspostavljanje postojanosti unutar sistema. Taktike zlonamjernog softvera za uspostavljanje postojanosti unutar sistema, podrazumijeva dobijanje root dozvola, onemogućavanje Gatekeeper zaštite i samostalno pokretanje tokom pokretanja sistema kroz kreiranje prilagođenih pozadinskih procesa (eng. daemon) za pokretanje.

 

DISTRIBUCIJA

Uprkos alarmantnim mogućnostima JaskaGO zlonamjerni softvera, kritični detalji u vezi sa njegovim načinom distribucije ostaju nerazjašnjeni. I dalje je nepoznanica da li se distribucija odvija phishing napadima putem elektronske pošte, strategijama zlonamjernog oglašavanja ili alternativnim sredstvima, ostavljajući ključnu prazninu u razumijevanju kako korisnici mogu nesvjesno postati žrtve ovog zlonamjernog softvera.

 

ZAKLJUČAK

JaskaGO zlonamjerni softver je višeplatformska prijetnja koja predstavlja ubjedljiv primjer novog pejzaža prijetnji koje se razvija. Ovaj zlonamjerni softver dovodi u pitanje široko rasprostranjenu ideju o neranjivosti macOS operativnih sistema, naglašavajući zajedničku ranjivost i Windows i macOS sistema. Koristeći napredne anti-virtuelne taktike, JaskaGO zlonamjerni softver zaobilazi automatsku analizu, što ga čini ogromnim izazovom za otkrivanje. Njegovi mehanizmi postojanosti otkrivaju odlučan napor da se zadrži u sistemima, dok njegove mogućnosti krađe pretvaraju zlonamjerni softver u opasnu prijetnju, izvlačeći osjetljive informacije od svojih žrtvi.

 

ZAŠTITA

Kako bi se korisnici zaštitili JaskaGO zlonamjernog softvera i sličnih prijetnji, potrebno je da primjenjuju robusne mjere sajber bezbjednosti:

  • Ažuriranje svih uređaja i softvera je ključno za smanjenje rizika od infekcije zlonamjernim softverom. Proizvođači često objavljuju bezbjednosna ažuriranja i ispravke kako bi riješili probleme poznatih ranjivosti. Blagovremenom primjenom ovih ažuriranja, korisnici mogu da zatvore potencijalne ulazne tačke.
  • Koristiti provjerena sigurnosna riješenja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i spriječile zlonamjerne aktivnosti.
  • Potrebno je biti oprezna sa dolaznom elektronskom poštom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatnoće da će pokrenuti proces infekcije uređaja.
  • Izbjegavati preuzimanje i instaliranje softvera iz nepouzdanih izvora.
  • Biti oprezan prilikom pretraživanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadrže zlonamjerni softver koji može zaraziti uređaj prilikom otvaranja takvih stranica.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.