Yang Perlu Anda Ketahui Tentang Malware Berbasis Golang

Golang menjadi bahasa pemrograman pilihan bagi banyak pengembang malware. Menurut firma keamanan siber Intezer, terdapat peningkatan hampir 2.000 persen dalam jumlah galur malware berbasis Go yang ditemukan di alam liar sejak 2017.

Jumlah serangan yang menggunakan malware jenis ini diperkirakan akan meningkat dalam beberapa tahun mendatang. Yang paling mengkhawatirkan adalah kami melihat banyak pelaku ancaman yang menargetkan beberapa sistem operasi dengan strain dari satu basis kode Go.

Berikut hal lain yang perlu Anda ketahui tentang ancaman yang muncul ini.

Apa Golang Itu?

Go (a.k.a. Golang) merupakan bahasa pemrograman open source yang masih tergolong baru. Ini dikembangkan oleh Robert Griesemer, Rob Pike, dan Ken Thompson di Google pada tahun 2007, meskipun baru secara resmi diperkenalkan ke publik pada tahun 2009.

Ini dikembangkan sebagai alternatif untuk C ++ dan Java. Tujuannya adalah untuk menciptakan sesuatu yang lugas untuk dikerjakan dan mudah dibaca untuk pengembang.

Terkait: Pelajari Bahasa Android Dengan Pelatihan Pengembang Google Go Ini

Mengapa Penjahat Dunia Maya Menggunakan Golang?

Ada ribuan malware berbasis Golang di alam liar saat ini. Baik geng peretasan yang disponsori negara dan non-negara telah menggunakannya untuk menghasilkan sejumlah strain termasuk Remote Access Trojans (RATs), pencuri, penambang koin, dan botnet di antara banyak lainnya.

Apa yang membuat malware jenis ini lebih kuat adalah caranya ia dapat menargetkan Windows, macOS, dan Linux menggunakan basis kode yang sama. Ini berarti bahwa pengembang malware dapat menulis kode sekali dan kemudian menggunakan basis kode tunggal ini untuk mengkompilasi binari untuk berbagai platform. Menggunakan tautan statis, kode yang ditulis oleh pengembang untuk Linux dapat berjalan di Mac atau Windows.

Kami telah melihat penambang kripto berbasis go yang menargetkan mesin Windows dan Linux serta pencuri mata uang kripto multi-platform dengan aplikasi trojan yang berjalan di perangkat macOS, Windows, dan Linux.

Selain keserbagunaan ini, alunan yang ditulis dalam Go telah terbukti sangat tersembunyi juga.

Banyak yang telah menyusup ke sistem tanpa deteksi terutama karena malware yang ditulis dalam Go berukuran besar. Juga karena tautan statis, binari di Go relatif lebih besar dibandingkan dengan bahasa lain. Banyak layanan perangkat lunak antivirus tidak dilengkapi untuk memindai file sebesar ini.

Selain itu, lebih sulit bagi sebagian besar antivirus untuk menemukan kode yang mencurigakan di biner Go karena mereka terlihat jauh berbeda di bawah debugger dibandingkan dengan yang lain yang ditulis dalam bahasa yang lebih umum.

Itu tidak membantu bahwa fitur-fitur bahasa pemrograman ini membuat biner Go masih lebih sulit untuk merekayasa ulang dan menganalisis.

Meskipun banyak alat rekayasa balik dilengkapi dengan baik dalam menganalisis biner yang dikompilasi dari C atau C ++, biner berbasis Go masih menghadirkan tantangan baru bagi para insinyur terbalik. Hal ini membuat tingkat deteksi malware Golang tetap rendah.

Strain Malware Berbasis Go dan Vektor Serangan

Sebelum tahun 2019, mendeteksi malware yang ditulis di Go mungkin jarang terjadi, tetapi dalam beberapa tahun terakhir ada peningkatan yang stabil dalam jenis malware berbahaya berbasis go.

Seorang peneliti malware telah menemukan sekitar 10.700 strain malware unik yang ditulis di Go in the wild. Yang paling umum adalah RAT dan pintu belakang, tetapi dalam beberapa bulan terakhir kami juga melihat banyak ransomware berbahaya yang ditulis di Go.

ElectroRAT

Salah satu pencuri info yang ditulis di Golang adalah ElectroRAT yang sangat mengganggu. Meskipun ada banyak dari pencuri info yang buruk ini, yang membuatnya lebih berbahaya adalah bagaimana ia menargetkan beberapa sistem operasi.

Kampanye ElectroRAT, ditemukan pada Desember 2020, menampilkan malware berbasis Go lintas platform yang memiliki gudang kemampuan ganas yang dimiliki oleh varian Linux, macOS, dan Windows-nya.

Malware ini mampu melakukan keylogging, mengambil tangkapan layar, mengunggah file dari disk, mengunduh file, dan menjalankan perintah selain dari tujuan utamanya menguras dompet cryptocurrency.

Terkait: ElectroRAT Malware yang Menargetkan Dompet Cryptocurrency

Kampanye ekstensif yang diyakini tetap tidak terdeteksi selama setahun melibatkan taktik yang lebih rumit.

Yang terakhir termasuk membuat situs web palsu dan akun media sosial palsu, membuat tiga aplikasi terpisah yang terinfeksi trojan yang terkait dengan cryptocurrency (masing-masing menargetkan Windows, Linux, dan macOS), mempromosikan aplikasi tercemar di forum crypto dan blockchain seperti Bitcoin Talk, dan memikat korban ke aplikasi trojan Halaman web.

Setelah pengguna mengunduh dan kemudian menjalankan aplikasi, GUI terbuka sementara malware menyusup di latar belakang.

RobbinHood

Ini ransomware jahat menjadi berita utama pada tahun 2019 setelah melumpuhkan sistem komputer kota Baltimore.

Penjahat dunia maya di balik ketegangan Robbinhood menuntut $ 76.000 untuk mendekripsi file. Sistem pemerintah dibuat offline dan tidak berfungsi selama hampir sebulan dan kota tersebut dilaporkan menghabiskan awal $ 4,6 juta untuk memulihkan data di komputer yang terpengaruh.

Kerusakan akibat hilangnya pendapatan mungkin membuat kota lebih mahal — hingga $ 18 juta menurut sumber lain.

Awalnya dikodekan dalam bahasa pemrograman Go, ransomware Robbinhood mengenkripsi data korban dan kemudian menambahkan nama file dari file yang disusupi dengan ekstensi .Robbinhood. Ini kemudian menempatkan file yang dapat dieksekusi dan file teks di desktop. File teks adalah catatan tebusan dengan permintaan penyerang.

Zebrocy

Pada tahun 2020, operator perangkat lunak perusak Sofacy mengembangkan varian Zebrocy yang ditulis dalam Go.

Strain tersebut menyamar sebagai dokumen Microsoft Word dan disebarkan menggunakan umpan phishing COVID-19. Ini berfungsi sebagai pengunduh yang mengumpulkan data dari sistem host yang terinfeksi dan kemudian mengunggah data ini ke server perintah dan kontrol.

Terkait: Waspadai 8 Penipuan Siber COVID-19 Ini

Gudang Zebrocy, terdiri dari dropper, backdoors, dan downloaders, telah digunakan selama bertahun-tahun. Namun varian Go-nya baru ditemukan pada 2019.

Ini dikembangkan oleh kelompok kejahatan dunia maya yang didukung negara dan sebelumnya menargetkan kementerian luar negeri, kedutaan besar, dan organisasi pemerintah lainnya.

Lebih Banyak Malware Golang Akan Datang Di Masa Depan

Malware berbasis Go semakin populer dan terus menjadi bahasa pemrograman masuk bagi pelaku ancaman. Kemampuannya untuk menargetkan banyak platform dan tetap tidak terdeteksi untuk waktu yang lama menjadikannya ancaman serius yang patut diperhatikan.

Artinya, perlu disoroti bahwa Anda perlu melakukan tindakan pencegahan dasar terhadap malware. Jangan mengeklik tautan apa pun yang mencurigakan atau mengunduh lampiran dari email atau situs web — meskipun itu berasal dari keluarga dan teman Anda (yang mungkin sudah terinfeksi).

Bisakah Keamanan Siber Mengikuti? Masa Depan Malware dan Antivirus

Malware terus berkembang, memaksa pengembang antivirus untuk menjaga kecepatan. Malware tanpa file, misalnya, pada dasarnya tidak terlihat - jadi bagaimana kita bisa bertahan melawannya?

Tentang Penulis