I ricercatori di AT&T Alien Labs hanno scoperto un nuovo malware scritto nel linguaggio di programmazione open source Golang, distribuito con più di 30 exploit, che ha il potenziale per attaccare milioni di router e dispositivi IoT.
Denominato BotenaGo, questo malware crea una backdoor e attende di ricevere un obiettivo da attaccare da un operatore remoto tramite la porta 19412 o da un altro modulo correlato in esecuzione sulla stessa macchina.
BotenaGo sfrutta più di 30 vulnerabilità e ha attualmente un basso tasso di rilevamento antivirus (AV) con solo 6/62 AV noti visti in VirusTotal. Alcuni AV rilevano queste nuove varianti di malware utilizzando Go as Mirai malware. I collegamenti del payload sembrano simili, tuttavia, ci sono differenze tra il malware Mirai e le nuove varianti di malware che utilizzano Go: Mirai è una botnet che avvia la sua comunicazione con il suo comando e controllo (C&C) e ha diverse funzionalità DDoS. I nuovi ceppi di malware scoperti non hanno le stesse funzioni di attacco del malware Mirai e cercano solo sistemi vulnerabili per diffondere il suo carico utile.
Il malware può ricevere comandi per colpire le vittime in due modi diversi:
- Crea due porte backdoor: 31412 e 19412. Sulla porta 19412 ascolterà per ricevere l’IP della vittima. Una volta ricevuta una connessione con le informazioni a quella porta, passerà attraverso le funzioni di exploit mappate e le eseguirà con l’IP specificato.
- Il malware imposta un listener sull’input utente dell’IO di sistema (terminale) e può ricevere un target attraverso di esso. Ad esempio, se il malware è in esecuzione localmente su una macchina virtuale, è possibile inviare un comando tramite telnet.
Come payload, BotenaGo eseguirà comandi shell remoti sui dispositivi in cui la vulnerabilità è stata sfruttata con successo. In base al sistema infetto, il malware utilizza collegamenti diversi, ciascuno con un payload diverso. Al momento dell’analisi, tutti i payload erano stati rimossi dai server ospitati dagli aggressori, quindi Alien Labs non ha potuto analizzarne nessuno. Inoltre, non è ancora chiaro quale sia l’attore della minaccia dietro BotenaGo né il numero di dispositivi infetti.
“Gli autori di malware continuano a creare nuove tecniche per scrivere malware e aggiornarne le capacità. In questo caso, il nuovo malware che scrive in Golang (che Alien Labs ha chiamato BotenaGo) può essere eseguito come botnet su diverse piattaforme OS con piccole modifiche”, concludono i ricercatori.