Исследователи рассказали об обнаружении новой кроссплатформенной Go-малвари, JaskaGO, которая предназначена для кражи информации и атакует системы под управлением Windows и macOS.
Впервые следы macOS-версии JaskaGO были замечены еще в июле 2023 года, и тогда малварь выдавала себя за установщики различного легитимного ПО (например, CapCut, AnyConnect и ИБ-инструменты).
Специалисты AT&T Alien Labs, обнаружившие вредоноса, рассказывают, что тот поддерживает обширный набор команд, поступающих с управляющего сервера.
После установки на машину жертвы JaskaGO проверяет, не работает ли она на виртуальной машине, и если ответ положительный, малварь выполняет какую-нибудь безобидную задачу, например пингует Google, стремясь остаться незамеченной.
Если же все в порядке, JaskaGO собирает информацию о системе жертвы и устанавливает соединение со своим командным сервером для получения дальнейших инструкций, в том числе для выполнения shell-команд, создания списка запущенных процессов и скачивания дополнительных полезных нагрузок.
Кроме того, стилер способен модифицировать данные в буфере обмена, подменяя в буфере адреса криптовалютных кошельков (на кошельки, принадлежащие хакерам), а также воровать файлы и данные из браузеров.
Сообщается, что версия малвари, предназначенная для устройств Apple, использует многоступенчатный процесс, чтобы закрепиться в системе. В частности, вредонос умеет запускать себя с правами root, отключать защиту Gatekeeper и создавать собственных демонов запуска, чтобы гарантировать себе автоматический старт во время каждого запуска системы.
Исследователям неизвестно, как в настоящее время распространяется JaskaGO, и используются ли для этого фишинг или вредоносные рекламные кампании.
«JaskaGO вносит свою лепту в набирающий обороты тренд по разработке вредоносного ПО с использованием языка Go, — заключают специалисты. — Go (он же Golang) известен своей простотой, эффективностью и кроссплатформенными возможностями. Простота использования сделала его привлекательным выбором для разработчиков вредоносного ПО, стремящихся создавать универсальные и вместе с тем сложные угрозы».
Впервые следы macOS-версии JaskaGO были замечены еще в июле 2023 года, и тогда малварь выдавала себя за установщики различного легитимного ПО (например, CapCut, AnyConnect и ИБ-инструменты).
Специалисты AT&T Alien Labs, обнаружившие вредоноса, рассказывают, что тот поддерживает обширный набор команд, поступающих с управляющего сервера.
После установки на машину жертвы JaskaGO проверяет, не работает ли она на виртуальной машине, и если ответ положительный, малварь выполняет какую-нибудь безобидную задачу, например пингует Google, стремясь остаться незамеченной.
Если же все в порядке, JaskaGO собирает информацию о системе жертвы и устанавливает соединение со своим командным сервером для получения дальнейших инструкций, в том числе для выполнения shell-команд, создания списка запущенных процессов и скачивания дополнительных полезных нагрузок.
Кроме того, стилер способен модифицировать данные в буфере обмена, подменяя в буфере адреса криптовалютных кошельков (на кошельки, принадлежащие хакерам), а также воровать файлы и данные из браузеров.
Сообщается, что версия малвари, предназначенная для устройств Apple, использует многоступенчатный процесс, чтобы закрепиться в системе. В частности, вредонос умеет запускать себя с правами root, отключать защиту Gatekeeper и создавать собственных демонов запуска, чтобы гарантировать себе автоматический старт во время каждого запуска системы.
Исследователям неизвестно, как в настоящее время распространяется JaskaGO, и используются ли для этого фишинг или вредоносные рекламные кампании.
«JaskaGO вносит свою лепту в набирающий обороты тренд по разработке вредоносного ПО с использованием языка Go, — заключают специалисты. — Go (он же Golang) известен своей простотой, эффективностью и кроссплатформенными возможностями. Простота использования сделала его привлекательным выбором для разработчиков вредоносного ПО, стремящихся создавать универсальные и вместе с тем сложные угрозы».
