AT&T Alien Labs的網絡安全研究人員發現了一種名為JaskaGO的復雜惡意軟件菌株,它是用Go(Golang)編程語言編寫的,并具有在受感染系統中保持持久性的能力。它可以泄露有價值的信息,包括瀏覽器憑據和加密貨幣錢包詳細信息。

JaskaGO于2023年7月被發現,針對Mac用戶。從那時起,該威脅的功能不斷發展,并在macOS和Windows版本中發展,檢測率較低,最近的反病毒引擎樣本證明了這一點。

根據AT&T Alien Labs的報告,JaskaGO是一種欺騙性工具,它會顯示一條虛假的錯誤消息,聲稱文件丟失,以誤導用戶相信惡意代碼無法運行。

此外,它使用類似于知名應用程序的文件名,例如“Capcut_Installer_Intel_M1.dmg”和“Anyconnect.exe”,這表明在盜版應用程序網頁中以合法軟件為幌子部署惡意軟件的常見策略。

惡意軟件首先掃描系統以確定它是否在虛擬機(VM)中運行,獲取一般機器信息,例如處理器數量、系統正常運行時間、可用系統內存和MAC地址。與知名虛擬機軟件(例如VMware或VirtualBox)相關的MAC地址的存在是一個關鍵指標。

如果沒有檢測到,它就會開始收集信息并不斷查詢其C2服務器,等待各種命令的指示。這些命令包括創建持久性、竊取程序功能、ping命令和控制、執行shell命令、警報消息、檢索正在運行的進程列表、執行磁盤或內存中的文件、寫入剪貼板、執行隨機任務、下載和執行其他有效負載、啟動進程退出(自身)、啟動進程退出并刪除自身。

JaskaGO配備了廣泛的數據滲透功能,并將獲取的數據存儲在專門創建的文件夾中,壓縮并發送給攻擊者。它可以配置為針對其他瀏覽器,收集瀏覽器信息,例如憑據、歷史記錄、cookie、密碼加密密鑰、配置文件和登錄信息。

持久化機制通過兩種方法建立:Windows中的服務創建和macOS中的root執行。在Windows中,惡意軟件通過生成以下文件來創建Windows終端配置文件:

UserName\AppData\Local\Packages\Microsoft

WindowsTerminal_*\LocalState\settings.json

在macOS上,惡意軟件采用多步驟過程在系統內建立持久性:以root身份執行、禁用Gatekeepe 以及復制自身。為了確保持久性,惡意軟??件會根據成功的root訪問創建LaunchDaemon或LaunchAgent,以便在系統啟動期間自動啟動,并進一步將自身嵌入到macOS環境中。

JaskaGO仍在調查中;但對那些可能感覺未受到網絡威脅影響的Mac用戶發出警告,強調無論選擇何種操作系統,都必須保持警惕的重要性。

macOS Windows 加密貨幣 瀏覽器數據
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接