Un nouveau malware voleur d’informations basé sur Go appelé JaskaGO est devenue la dernière menace multiplateforme à infiltrer les systèmes Windows et Apple macOS.
AT&T Alien Labs, qui a fait la découverte, dit le malware est « équipé d’un large éventail de commandes provenant de son serveur de commande et de contrôle (C&C) ».
Des artefacts conçus pour macOS ont été observés pour la première fois en juillet 2023, se faisant passer pour des installateurs de logiciels légitimes tels que CapCut. D’autres variantes du malware se sont fait passer pour AnyConnect et des outils de sécurité.
Lors de l’installation, JaskaGO exécute des vérifications pour déterminer s’il s’exécute dans un environnement de machine virtuelle (VM) et, si c’est le cas, exécute une tâche inoffensive comme envoyer un ping à Google ou imprimer un nombre aléatoire dans le but probable de passer inaperçu.
Dans d’autres scénarios, JaskaGO procède à la collecte d’informations sur le système victime et établit une connexion à son C&C pour recevoir des instructions supplémentaires, notamment l’exécution de commandes shell, l’énumération des processus en cours et le téléchargement de charges utiles supplémentaires.
Il est également capable de modifier le presse-papiers pour faciliter le vol de crypto-monnaie en remplaçant les adresses de portefeuille et en siphonnant les fichiers et les données des navigateurs Web.
« Sur macOS, JaskaGO utilise un processus en plusieurs étapes pour établir la persistance au sein du système », a déclaré le chercheur en sécurité Ofer Caspi, décrivant ses capacités à s’exécuter avec les autorisations root, à désactiver les protections Gatekeeper et à créer un compte personnalisé. lancer le démon (ou agent de lancement) pour garantir qu’il est automatiquement lancé lors du démarrage du système.
On ne sait pas actuellement comment le malware est distribué ni s’il implique du phishing ou des leurres de publicité malveillante. L’ampleur de la campagne reste encore incertaine.
« JaskaGO contribue à une tendance croissante dans le développement de logiciels malveillants exploitant le langage de programmation Go », a déclaré Caspi.
« Go, également connu sous le nom de Golang, est reconnu pour sa simplicité, son efficacité et ses capacités multiplateformes. Sa facilité d’utilisation en a fait un choix attrayant pour les auteurs de logiciels malveillants cherchant à créer des menaces polyvalentes et sophistiquées. »