17 février 2025Ravie LakshmananIntelligence de menace / cyberattaque

Les chercheurs en cybersécurité ont mis en lumière une nouvelle porte dérobée à base de Golang qui utilise le télégramme comme mécanisme de communication de commandement et de contrôle (C2).

Netskope Threat Labs, qui a détaillé les fonctions du malware, l’a décrit comme peut-être d’origine russe.

“Le malware est compilé à Golang et, une fois exécuté, il agit comme une porte dérobée”, a déclaré le chercheur en sécurité Leandro Fróes dit Dans une analyse publiée la semaine dernière. “Bien que les logiciels malveillants semblent toujours en cours de développement, il est complètement fonctionnel.”

Cybersécurité

Une fois lancé, la porte dérobée est conçue pour vérifier si elle s’exécute sous un emplacement spécifique et en utilisant un nom spécifique – “C: Windows temp svchost.exe” – et sinon, il lit son propre contenu, les écrit à cet endroit , et crée un nouveau processus pour lancer la version copiée et se terminer.

Un aspect notable du malware est qu’il utilise un bibliothèque open source Cela offre des liaisons Golang pour l’API Bot Telegram à des fins C2.

Cela implique d’interagir avec l’API Télégramme Bot pour recevoir de nouvelles commandes provenant d’un chat contrôlé par l’acteur. Il prend en charge quatre commandes différentes, bien que seulement trois d’entre elles soient actuellement implémentées –

  • / cmd – exécuter les commandes via PowerShell
  • / persiste – se relancer sous “C: Windows temp svchost.exe”
  • / capture d’écran – non implémentée
  • / authentification – supprimer le fichier “C: Windows temp svchost.exe” et se terminer
Cybersécurité

La sortie de ces commandes est renvoyée au canal télégramme. Netskope a déclaré que la commande “/ capture d’écran” envoie le message “capture d’écran capturée” bien qu’elle ne soit pas complètement étoffée.

Les racines russes des logiciels malveillants s’expliquent par le fait que l’instruction “/ cmd” envoie le message “Entrez la commande:” En russe au chat.

“L’utilisation d’applications cloud présente un défi complexe pour les défenseurs et les attaquants en est conscient”, a déclaré Fróes. “D’autres aspects tels que la facilité de définir et de démarrer l’utilisation de l’application sont des exemples de pourquoi les attaquants utilisent des applications comme celle-ci dans différentes phases d’une attaque.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57