JaskaGO, il nuovo infostealer scritto in Golang colpisce Windows e MacOS

Un nuovo malware infostealer scritto in linguaggio di programmazione Go chiamato JaskaGO sarebbe l’ultima minaccia multipiattaforma in grado di infiltrarsi nei sistemi Windows e Apple macOS. Osservato per la prima volta nel mese di luglio 2023 con artefatti progettati contro gli utenti Mac, il malware, ha via via evoluto le proprie capacità sviluppando istanze sia nelle versioni macOS che in quelle Windows, spacciandosi per installer di software legittimo come CapCut e AnyConnect.

In particolare il ricercatore di sicurezza Ofer Caspi di AT&T Alien Labs, afferma che JaskaGO sarebbe dotato di una vasta gamma di comandi C2, persistenza e efficace capacità di esfiltrazione di dati sensibili.

Attività del malware

Al momento dell’installazione, JaskaGO per determinare se è in esecuzione all’interno di un ambiente virtuale (VM) effettua dei controlli su criteri specifici collegati in particolare agli indirizzi MAC di Virtual Machine note, come VMware o VirtualBox, eseguendo in tal caso delle attività innocue nel tentativo di elusione.

Fonte AT&T Alien Labs

In caso contrario il malware procede invece alla raccolta di informazioni dal sistema vittima e stabilisce una connessione C2 per eseguire comandi shell, file su disco o in memoria e il download di payload aggiuntivi. Come accennato prima, JaskaGO sarebbe dotato di ampie funzionalità per l’esfiltrazione dati da browser (Chrome, Firefox), wallet, file e cartelle che una volta memorizzati e compressi vengono inviati all’autore della minaccia. Infine per stabilire la persistenza utilizza diversi metodi adeguati al tipo di sistema operativo preso di mira.

Persistenza su Windows – Fonte AT&T Alien Labs
Persistenza su macOS – Fonte AT&T Alien Labs

Nessun è al sicuro

Sebbene al momento non siano noti nè il vettore di distribuzione del malware e nè la portata della campagna, senza dubbio la minaccia multipiattaforma JaskaGO non fa altro che confermare la che tutti i sistemi operativi possono essere attaccabili, sfatando in particolare il concetto ampiamente diffuso di invulnerabilità dei sistemi macOS.

Per il momento i tassi di rilevamento delle soluzioni AV risultano non soddisfacenti attestando la pericolosità della minaccia.

https://www.virustotal.com/gui/file/7bc872896748f346fdb2426c774477c4f6dcedc9789a44bd9d3c889f778d5c4b/detection
https://www.virustotal.com/gui/file/f38a29d96eee9655b537fee8663d78b0c410521e1b88885650a695aad89dbe3f
Su Salvatore Lombardo 166 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.