Основы Интернет - технологий.

Исследователи рассказали об обнаружении новой кроссплатформенной Go-малвари, JaskaGO, которая предназначена для кражи информации и атакует системы под управлением Windows и macOS.

Впервые следы macOS-версии JaskaGO были замечены еще в июле 2023 года, и тогда малварь выдавала себя за установщики различного легитимного ПО (например, CapCut, AnyConnect и ИБ-инструменты).

Специалисты AT&T Alien Labs, обнаружившие вредоноса, рассказывают, что тот поддерживает обширный набор команд, поступающих с управляющего сервера.

После установки на машину жертвы JaskaGO проверяет, не работает ли она на виртуальной машине, и если ответ положительный, малварь выполняет какую-нибудь безобидную задачу, например пингует Google, стремясь остаться незамеченной.

Если же все в порядке, JaskaGO собирает информацию о системе жертвы и устанавливает соединение со своим командным сервером для получения дальнейших инструкций, в том числе для выполнения shell-команд, создания списка запущенных процессов и скачивания дополнительных полезных нагрузок.

Кроме того, стилер способен модифицировать данные в буфере обмена, подменяя в буфере адреса криптовалютных кошельков (на кошельки, принадлежащие хакерам), а также воровать файлы и данные из браузеров.

Сообщается, что версия малвари, предназначенная для устройств Apple, использует многоступенчатный процесс, чтобы закрепиться в системе. В частности, вредонос умеет запускать себя с правами root, отключать защиту Gatekeeper и создавать собственных демонов запуска, чтобы гарантировать себе автоматический старт во время каждого запуска системы.

Исследователям неизвестно, как в настоящее время распространяется JaskaGO, и используются ли для этого фишинг или вредоносные рекламные кампании.