Los cibercriminales vuelven a usar programas desarrollados en Go con fines fraudulentos. Esta vez, un nuevo GoLang Malware ha sido capaz de infiltrarse en servidores de Linux para llevar a cabo la minería ilegal de criptomonedas.
Después de su aparición en el 2009, el lenguaje de programación de Google, Go (también llamado GoLang), ha ganado gran popularidad entre algunos usuarios del mundo digital. Lamentablemente, se ha descubierto que también los cibercriminales están usando Go para escribir programas maliciosos capaces de evadir ciertos protocolos de seguridad.
La peor partes es que probablemente seguiremos siendo testigos de la aparición de diversos malwares desarrollados en Go; pues los hackers han encontrado en este lenguaje, una forma más sencilla de desarrollar programas maliciosos difíciles de detectar.
¿Quieres conocer los detalles acerca de este nuevo ataque? Sigue leyendo y descubre mucho más.
Un nuevo ataque ahora en Linux
A pesar de que ya pasaron 10 años luego de su lanzamiento; Go no ha sido un lenguaje comúnmente asociado con el desarrollo de programas maliciosos. Sin embargo, desde el año pasado; muchas empresas enfocadas en el tema de la ciberseguridad lograron detectar ataques provenientes de malwares desarrollados en Go.
El uso de este lenguaje para el desarrollo de programas maliciosos se ha popularizado tanto; que ya ha surgido toda una familia de malwares creados con él.
Aunque el 92% del GoLang Malware que han identificado los expertos, está dirigido a Windows; últimamente se han detectado ataques orientados a comprometer servidores de Linux.
Este el caso de un ataque detectado recientemente por investigadores del F5 Labs, quienes después de algún tiempo de estudio lograron determinar que desde el 10 junio del 2019 un GoLang Malware ha estado infectando varios miles de máquinas con el objetivo de sacar beneficios de la criptominería ilegal.
Los resultados indican que el atacante ha logrado beneficiarse de al menos 2000$ como producto de la minería ilícita en servidores de Linux. Los investigadores indicaron que esta cifra puede ser mayor; pues sospechan que el cibercriminal podría tener varias billeteras activas utilizadas por su red de bots.
¿Cómo funciona este GoLang Malware?
De acuerdo con los resultados arrojados por la investigación, los atacantes usan un servicio de portapapeles en línea llamado pastebin.com; y otro servicio utilizado para devolver la dirección IP pública de un servidor llamado indent.me.
Según el informe, los involucrados en la investigación identificaron solicitudes maliciosas dirigidas a vulnerabilidades en Atlassian Confluence (CVE-2019-3396); ThinkPHP (CVE-2019-9082 y CVE-no asignadas), y Drupal (CVE-2018-7600), también conocido como Druppalgeddon2.
El GoLang malware es capaz de propagarse utilizando siete métodos diferentes; los cuales incluyen cuatro exploits de aplicaciones web, enumeración de credenciales SSH; enumeración de contraseñas de bases de datos Redis y un intento de conectar otras máquinas mediante el uso de claves SSH descubiertas.
Una vez dentro del sistema, el GoLang Malware detiene cualquier proceso relacionado con alguna operación de minería que ya se esté llevando a cabo. Además, borra los historiales y registro; e inhabilita las herramientas de seguridad. Uno de sus principales objetivos es acaparar toda la energía disponible del CPU es por eso que elimina cualquier proceso que use grandes cantidades de memoria.
Para mantenerse en el sistema, el GoLang Malware se configura como una tarea y servicio cron en el sistema llamado mysqlc. De acuerdo también con el informe; el malware está alojado en un sitio web de comercio electrónico chino que ya ha sido comprometido.
¿Por qué es GoLang tan conveniente para el desarrollo de malware?
GoLang ofrece grandes ventajas en cuanto a su uso. Por ejemplo, si ya conoces el lenguaje C; Go resulta muy fácil de aprender. Además, con Go puedes librarte de muchos de los errores que pueden afectar normalmente a C o C++.
GoLang también brinda la posibilidad de acceder a un entorno de compilación simple para crear binarios nativos. Esto lo hace muy atractivo para los cibercriminales quienes a través de este lenguaje; son capaces de crear malwares que funcionen en diversos sistemas operativos.
Gracias precisamente a que es un lenguaje nuevo y que normalmente no es reconocido por utilizarse para fines maliciosos, muchos sistemas de seguridad no lo tienen en su radar; por lo que los cibercriminales pueden esconderse a simple vista, sabiendo que va a ser más difícil para un programa de seguridad, detectar una amenaza en un lenguaje que le es desconocido.
Es por esto que los expertos concluyen que probablemente; seguiremos siendo testigos de la aparición de una mayor cantidad de GoLangs Malware dirigidos a diversos objetivos.
La buena noticia es que a medida que avanza esta nueva amenaza, los expertos en soluciones de ciberseguridad también están desarrollando aplicaciones más completas; que con ayuda de tecnologías como el Machine Learning serán capaces de detectar este tipo de malware de forma más simple.
¿Y tú, qué piensas de esta amenaza? ¿Sientes que tus sistemas están vulnerables? ¿Quieres mantener tus sistemas completamente protegidos? Entonces debes usar las mejores herramientas. Contáctanos ya y adquiere soluciones de seguridad de primera que te permitirán alcanzar visibilidad total sobre tus superficies de ataque. En GB Advisors te ofrecemos los mejores software y asesoría profesional en ITsec y ITSM.