基于Go的惡意軟件正在竊取用戶信息

李匯

越來越多的網絡犯罪集團轉向名為Aurora的信息竊取惡意軟件，該惡意軟件基于Go開源編程語言，旨在從瀏覽器、加密貨幣錢包和本地系統中獲取數據。

網絡安全公司Sekoia旗下安全研究團隊發現了至少7個惡意行為者，并將其稱為“販運者”，他們已將Aurora添加到信息竊取武器庫中。在某些情況下，它還與Redline或Raccoon信息竊取惡意軟件一起使用。

報告稱，到目前為止，已有40多個加密貨幣錢包和Telegram等應用程序成為該惡意軟件的目標，并著重強調了Aurora相對未知的地位和難以捉摸的特性作為戰術優勢。

Aurora于2022年7月首次被該公司發現，并被認為自4月以來在俄語論壇上得到推廣，其遠程訪問功能和高級信息竊取功能受到吹捧。

“在2022年10-11月，數百個收集到的樣本和數十個活躍的C2服務器證實了Sekoia公司之前的評估，即Aurora竊取者將成為一個普遍的信息竊取惡意軟件。”該公司在報告中解釋稱：“隨著包括走私團隊在內的多個網絡犯罪組織將惡意軟件添加到他們的武器庫中，Aurora Stealer正在成為一個突出的威脅。”

該報告還指出，網絡犯罪組織一直在使用多個感染鏈傳播該惡意軟件。從偽裝成合法網站的網絡釣魚網站到YouTube視頻，虛假的“免費軟件目錄”網站，這些網站應有盡有。“這些感染鏈利用網絡釣魚頁面冒充合法軟件的下載頁面，包括加密貨幣錢包或遠程訪問工具，以及利用YouTube視頻和SEO準備的虛假破解軟件下載網站的信息和數據。”

Sekoia公司的分析還強調，目前在野外傳播Aurora竊取器存在2個感染鏈：一個是通過一個模仿Exodus錢包的釣魚網站；另一個是來自被盜帳戶的YouTube視頻，該視頻介紹如何免費安裝破解軟件。

該惡意軟件使用簡單的文件抓取器配置來收集目錄列表以搜索感興趣的文件，它使用端口8081和9865上的TCP連接進行通信，其中8081是最廣泛開放的端口。然后將泄露的文件以base64編碼并發送到命令和控制服務器（C2）。據研究人員稱，收集到的數據在各種市場上以高價提供給網絡犯罪分子，這些網絡犯罪分子希望開展有利可圖的后續活動，即所謂的“大獵殺”行動，追捕大公司和政府部門的目標。

事實上，越來越多的惡意行為者正在使用開放源代碼編程語言（如Go）構建惡意軟件和勒索軟件，這提供了更高的靈活性。Go的跨平臺能力使單個代碼庫可以編譯到所有主要操作系統中，這使得網絡犯罪組織可以輕松地不斷更改，并為惡意軟件添加新功能以避免被發現。跨平臺BianLian勒索軟件的運營商實際上在最近幾個月增加了他們的C2基礎設施，表明他們的運營步伐正在加快。

根據黑莓去年的一份報告，不常見的編程語言———包括Go，Rust，Nim，DLang———也正成為尋求繞過安全防御或解決其開發過程中的薄弱環節的惡意軟件作者的最愛。