Un nuovo malware denominato JaskaGO, basato su Go (detto anche Golang, un linguaggio di programmazione creato da Google) è apparso di recente come l’ultima minaccia che colpisce più piattaforme in grado di infiltrare sia i sistemi Windows che quelli Apple macOS.
AT&T Alien Labs, che ha fatto la scoperta, ha dichiarato che il malware è “dotato di un’ampia gamma di comandi provenienti dal suo server di comando e controllo (C&C)“.
Come funziona JaskaGO e quali sono i problemi che può causare
Gli artefatti progettati per macOS sono stati osservati per la prima volta nel luglio 2023, fingendo di essere installatori di software legittimo come CapCut. Altre varianti del malware si sono mascherate da AnyConnect e strumenti di sicurezza.
All’atto dell’installazione, JaskaGO esegue controlli per determinare se sta eseguendo all’interno di un ambiente di macchina virtuale (VM) e, in caso affermativo, esegue un’operazione inoffensiva come pingare Google o stampare un numero casuale, probabilmente nel tentativo di passare inosservato.
In altri scenari, JaskaGO procede a raccogliere informazioni dal sistema della vittima e stabilisce una connessione con il suo C&C (comando e controllo) per ricevere istruzioni ulteriori, tra cui l’esecuzione di comandi shell, l’enumerazione dei processi in esecuzione e il download di payload aggiuntivi.
È in grado anche di modificare la clipboard per agevolare il furto di criptovalute sostituendo gli indirizzi del portafoglio e sottraendo file e dati dai browser web.
“Su macOS, JaskaGO utilizza un processo a più fasi per stabilire la persistenza all’interno del sistema“, ha dichiarato il ricercatore di sicurezza Ofer Caspi, delineando le sue capacità di eseguire se stesso con permessi di root, disabilitare le protezioni di Gatekeeper e creare un daemon di avvio personalizzato (o un agente di avvio) per assicurarsi che venga avviato automaticamente durante l’avvio del sistema.
Attualmente non si sa come il malware venga distribuito e se coinvolga esche di phishing o malvertising, pertanto la portata della campagna rimane ancora poco chiara.
“JaskaGO contribuisce a una crescente tendenza nello sviluppo di malware che sfrutta il linguaggio di programmazione Go“, ha affermato Caspi. “Go, anche noto come Golang, è riconosciuto per la sua semplicità, efficienza e capacità cross-platform [multipiattaforma]. La sua facilità d’uso lo ha reso una scelta attraente per gli autori del malware che cercano di creare minacce versatili e sofisticate.”
Casi simili a JaskaGO
Ci sono diversi casi di malware e minacce informatiche che hanno colpito sia sistemi Windows che macOS, anche se non tutti sono necessariamente legati al linguaggio di programmazione Go. Ecco alcuni esempi:
- Flashback (2011): era un trojan per macOS che sfruttava una vulnerabilità in Java per infettare i sistemi. Ha dimostrato la capacità di diffondersi in modo massiccio.
- WannaCry (2017): è stato un attacco ransomware su larga scala che ha sfruttato una vulnerabilità in Windows. Si è diffuso rapidamente in tutto il mondo, causando notevoli danni.
- CoinTicker (2018): era un adware progettato per macOS che visualizzava annunci pubblicitari fraudolenti, incluso il mining di criptovalute senza il consenso dell’utente.
- NotPetya (2017): è stato un ransomware che ha colpito principalmente le aziende. Si è diffuso sfruttando una vulnerabilità in un software di contabilità amministrativa ucraino.
- OSX/Dok (2017): era un malware che mirava agli utenti di macOS, cercando di intercettare le comunicazioni web criptate e ottenere informazioni sensibili.
- Emotet (2014 – 2021): è stato un trojan bancario inizialmente progettato per rubare informazioni finanziarie. Nel tempo, ha evoluto le sue funzionalità e è diventato un veicolo per la distribuzione di altri malware, tra cui ransomware.
- Bad Rabbit (2017): è stato un attacco ransomware mirato principalmente ai sistemi in Europa orientale. Si è diffuso attraverso un’apparenza di aggiornamento di Adobe Flash (oggi dismesso).
Da notare che il panorama delle minacce informatiche è in continua evoluzione, e nuovi malware possono emergere in qualsiasi momento, pertanto la sicurezza informatica richiede una combinazione di buone pratiche, aggiornamenti regolari e consapevolezza degli utenti per mitigare i rischi.
