基于Go的恶意软件正在窃取用户信息

李汇

越来越多的网络犯罪集团转向名为Aurora的信息窃取恶意软件，该恶意软件基于Go开源编程语言，旨在从浏览器、加密货币钱包和本地系统中获取数据。

网络安全公司Sekoia旗下安全研究团队发现了至少7个恶意行为者，并将其称为“贩运者”，他们已将Aurora添加到信息窃取武器库中。在某些情况下，它还与Redline或Raccoon信息窃取恶意软件一起使用。

报告称，到目前为止，已有40多个加密货币钱包和Telegram等应用程序成为该恶意软件的目标，并着重强调了Aurora相对未知的地位和难以捉摸的特性作为战术优势。

Aurora于2022年7月首次被该公司发现，并被认为自4月以来在俄语论坛上得到推广，其远程访问功能和高级信息窃取功能受到吹捧。

“在2022年10-11月，数百个收集到的样本和数十个活跃的C2服务器证实了Sekoia公司之前的评估，即Aurora窃取者将成为一个普遍的信息窃取恶意软件。”該公司在报告中解释称：“随着包括走私团队在内的多个网络犯罪组织将恶意软件添加到他们的武器库中，Aurora Stealer正在成为一个突出的威胁。”

该报告还指出，网络犯罪组织一直在使用多个感染链传播该恶意软件。从伪装成合法网站的网络钓鱼网站到YouTube视频，虚假的“免费软件目录”网站，这些网站应有尽有。“这些感染链利用网络钓鱼页面冒充合法软件的下载页面，包括加密货币钱包或远程访问工具，以及利用YouTube视频和SEO准备的虚假破解软件下载网站的信息和数据。”

Sekoia公司的分析还强调，目前在野外传播Aurora窃取器存在2个感染链：一个是通过一个模仿Exodus钱包的钓鱼网站；另一个是来自被盗帐户的YouTube视频，该视频介绍如何免费安装破解软件。

该恶意软件使用简单的文件抓取器配置来收集目录列表以搜索感兴趣的文件，它使用端口8081和9865上的TCP连接进行通信，其中8081是最广泛开放的端口。然后将泄露的文件以base64编码并发送到命令和控制服务器（C2）。据研究人员称，收集到的数据在各种市场上以高价提供给网络犯罪分子，这些网络犯罪分子希望开展有利可图的后续活动，即所谓的“大猎杀”行动，追捕大公司和政府部门的目标。

事实上，越来越多的恶意行为者正在使用开放源代码编程语言（如Go）构建恶意软件和勒索软件，这提供了更高的灵活性。Go的跨平台能力使单个代码库可以编译到所有主要操作系统中，这使得网络犯罪组织可以轻松地不断更改，并为恶意软件添加新功能以避免被发现。跨平台BianLian勒索软件的运营商实际上在最近几个月增加了他们的C2基础设施，表明他们的运营步伐正在加快。

根据黑莓去年的一份报告，不常见的编程语言———包括Go，Rust，Nim，DLang———也正成为寻求绕过安全防御或解决其开发过程中的薄弱环节的恶意软件作者的最爱。