越來越多的網(wǎng)絡(luò)犯罪集團(tuán)轉(zhuǎn)向名為 Aurora 的信息竊取惡意軟件，該惡意軟件基于Go開源編程語言，旨在從瀏覽器、加密貨幣錢包和本地系統(tǒng)中獲取數(shù)據(jù)。

網(wǎng)絡(luò)安全公司Sekoia旗下安全研究團(tuán)隊(duì)發(fā)現(xiàn)了至少七個(gè)惡意行為者，并將其稱為“販運(yùn)者”，他們已將 Aurora 添加到他們的信息竊取武器庫中。在某些情況下，它還與 Redline 或Raccoon信息竊取惡意軟件一起使用。

報(bào)告稱，到目前為止，已有 40 多個(gè)加密貨幣錢包和 Telegram 等應(yīng)用程序成為該惡意軟件的目標(biāo)，并著重強(qiáng)調(diào)了 Aurora 相對未知的地位和難以捉摸的特性作為戰(zhàn)術(shù)優(yōu)勢。

Aurora 于 7 月首次被該公司發(fā)現(xiàn)，并被認(rèn)為自4月以來在俄語論壇上得到推廣，其遠(yuǎn)程訪問功能和高級(jí)信息竊取功能受到吹捧。

“在2022年10月和11月，數(shù)百個(gè)收集到的樣本和數(shù)十個(gè)活躍的C2服務(wù)器證實(shí)了Sekoia公司之前的評估，即 Aurora 竊取者將成為一個(gè)普遍的信息竊取惡意軟件，”該公司在報(bào)告中 解釋稱，“隨著包括走私團(tuán)隊(duì)在內(nèi)的多個(gè)網(wǎng)絡(luò)犯罪組織將惡意軟件添加到他們的武器庫中，Aurora Stealer 正在成為一個(gè)突出的威脅。”

該報(bào)告還指出，網(wǎng)絡(luò)犯罪組織一直在使用多個(gè)感染鏈傳播該惡意軟件。從偽裝成合法網(wǎng)站的網(wǎng)絡(luò)釣魚網(wǎng)站到 YouTube 視頻，虛假的“免費(fèi)軟件目錄”網(wǎng)站，這些網(wǎng)站應(yīng)有盡有。

“這些感染鏈利用網(wǎng)絡(luò)釣魚頁面冒充合法軟件的下載頁面，包括加密貨幣錢包或遠(yuǎn)程訪問工具，以及利用 YouTube 視頻和 SEO 準(zhǔn)備的虛假破解軟件下載網(wǎng)站的信息和數(shù)據(jù)?！?/p>

Sekoia公司的分析還強(qiáng)調(diào)，目前在野外傳播 Aurora 竊取器存在兩個(gè)感染鏈，一個(gè)是通過一個(gè)模仿 Exodus 錢包的釣魚網(wǎng)站，另一個(gè)是來自被盜帳戶的 YouTube 視頻，該視頻介紹如何免費(fèi)安裝破解軟件。

該惡意軟件使用簡單的文件抓取器配置來收集目錄列表以搜索感興趣的文件。然后它使用端口 8081 和 9865 上的 TCP 連接進(jìn)行通信，其中 8081 是最廣泛開放的端口。然后將泄露的文件以 base64 編碼并發(fā)送到命令和控制服務(wù)器 (C2)。

據(jù)研究人員稱，收集到的數(shù)據(jù)在各種市場上以高價(jià)提供給網(wǎng)絡(luò)犯罪分子，這些網(wǎng)絡(luò)犯罪分子希望開展有利可圖的后續(xù)活動(dòng)，即所謂的“大獵殺”行動(dòng)，追捕大公司和政府部門的目標(biāo)。

事實(shí)上，越來越多的惡意行為者正在使用開放源代碼編程語言（如 Go）構(gòu)建惡意軟件和勒索軟件，這提供了更高的靈活性。

Go 的跨平臺(tái)能力使單個(gè)代碼庫可以編譯到所有主要操作系統(tǒng)中。這使得網(wǎng)絡(luò)犯罪組織可以輕松地不斷更改并為惡意軟件添加新功能以避免被發(fā)現(xiàn)。

跨平臺(tái) BianLian 勒索軟件的運(yùn)營商實(shí)際上在最近幾個(gè)月增加了他們的 C2 基礎(chǔ)設(shè)施，表明他們的運(yùn)營步伐正在加快。

根據(jù)黑莓去年的一份報(bào)告，不常見的編程語言——包括 Go、Rust、Nim 和 DLang——也正成為尋求繞過安全防御或解決其開發(fā)過程中的薄弱環(huán)節(jié)的惡意軟件作者的最愛。