Menu dostępności

Malware JaskaGO

Malware JaskaGO atakuje systemy operacyjne Windows i macOS

AT&T Alien Labs odkryło wyrafinowaną odmianę złośliwego oprogramowania wykradającego dane. Stworzone w języku programowania Go stanowi poważne zagrożenie zarówno dla systemów operacyjnych Windows, jak i macOS.

Ze względu na powszechne użycie i popularność systemów Windows oraz macOS cyberprzestępcy często atakują te platformy. Windows – ponieważ dominuje na światowym rynku systemów operacyjnych, macOS – ze względu na jego przewagę głównie wśród specjalistów, a także twórców i projektantów.

JaskaGO to wieloplatformowe zagrożenie kwestionujące niewrażliwość systemu macOS, wykorzystujące taktykę anty-VM w celu ukrycia, ciągłego osadzania w systemach i przekształcania się w niebezpieczne zagrożenie z możliwościami kradzieży.

Główne cechy JaskaGO:

  1. Wyposażony jest w szeroką gamę poleceń z serwera dowodzenia i kontroli (C&C).
  2. Może utrzymywać się na różne sposoby w zainfekowanym systemie.
  3. Użytkownicy stają w obliczu zwiększonego ryzyka naruszenia bezpieczeństwa danych, ponieważ specjalizuje się w wydobywaniu cennych informacji, począwszy od danych uwierzytelniających przeglądarki po szczegóły portfela kryptowalut i inne wrażliwe pliki użytkownika.
JaskaGO - wykrywalność
Źródło: AT&T Alien Labs

JaskaGO, korzystający z języka programowania Go, jest coraz bardziej popularny. Prostota Go przyciąga hakerów tworzących wszechstronne zagrożenia.

JaskaGO obala mit bezpieczeństwa systemu macOS, obierając za cel użytkowników obu najpopularniejszych systemów. Na pirackich stronach udaje legalne oprogramowanie, ewoluując i rozprzestrzeniając się od swojego pierwszego pojawienia się na komputerach Mac w lipcu 2023 roku.

Jak atakuje JaskaGO?

Malware oszukuje użytkowników, wyświetlając podczas uruchamiania fałszywe okno błędu, udające informację o niepowodzeniu. Sprawdza maszyny wirtualne, weryfikując szczegóły systemu, takie jak procesory, pamięć czy adresy MAC.

Poza tym wykrywa, czy jest uruchamiany na maszynie wirtualnej, wykonując losowe polecenia:

  • Ping do Google,
  • tworzenie pliku na pulpicie (np. config.ini),
  • wyświetlenie listy plików na pulpicie użytkownika,
  • sprawdzenie listy lokalnych adresów IP,
  • wykonanie prostego żądania HTTP GET do https[:]//www.web3api.com,
  • drukowanie losowej liczby,
  • utworzenie katalogu o losowej nazwie w katalogu domowym użytkownika,
  • wydrukowanie losowego ciągu znaków.
Źródło: AT&T Alien Labs

Po obejściu wykrycia maszyny wirtualnej JaskaGO zbiera informacje o ofierze i łączy się z centrum dowodzenia (C&C), zachowując czujność w razie pojawienia się dalszych poleceń.

JaskaGO umiejętnie eksfiltruje dane, przechowuje je i pakuje w dedykowanym folderze przed wysłaniem do cyberprzestępcy.

Malware wykrada trzy rodzaje danych – z przeglądarek, z portfeli kryptowalut oraz dane wrażliwe plików na dysku.

Zachowanie JaskaGO na Windows

W wersji dla systemu Windows szkodliwe oprogramowanie zapewnia trwałość na dwa sposoby:

  • tworzenie usługi – złośliwe oprogramowanie tworzy usługę i inicjuje jej wykonanie;
  • profile terminala Windows – (nietypowe, ale skuteczne) JaskaGO tworzy profil terminala Windows, generując plik „C:\users$env:UserName\AppData\Local\Packages\Microsoft. WindowsTerminal_*\LocalState\settings.json”. Plik ten jest skonfigurowany do automatycznego uruchamiania poprzez proces PowerShell po ponownym włączeniu systemu Windows.

Zachowanie JaskaGO na systemie operacyjnym MacOS

W systemie macOS JaskaGO wykorzystuje wieloetapowy proces ustalania trwałości.

  • Wykonanie jako root: malware inicjuje wykonanie, próbując uruchomić się z uprawnieniami roota.
  • Wyłączanie Gatekeepera: Gatekeeper, funkcja bezpieczeństwa w systemie macOS, jest systematycznie wyłączana przez złośliwe oprogramowanie za pomocą polecenia spctl –master-disable. Akcja ma na celu ominięcie kontroli bezpieczeństwa i ułatwienie niezakłóconej pracy.
  • JaskaGO powiela się, przyjmując format nazwy com.%s.appbackgroundservice, przy czym %s jest zastępowany losowo wygenerowanym ciągiem znaków. Taktyka zmiany nazwy pomaga zamaskować obecność szkodliwego oprogramowania w systemie.
  • Tworzenie LaunchDaemon / LaunchAgent – aby zapewnić trwałość, w oparciu o pomyślny dostęp do konta root, złośliwe oprogramowanie tworzy plik LaunchDaemon „/Library/LaunchDaemons/Init.plist” (jeśli jest to root) lub LaunchAgent „/Library/LaunchAgents/service.plist” (jeśli nie źródło). Taka konfiguracja gwarantuje, że złośliwe oprogramowanie zostanie automatycznie uruchomione podczas włączania systemu, dodatkowo osadzając się w środowisku macOS.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...