GoのJaskaGO

JaskaGOは、Go言語で作成された多機能なインフォスティーラー型マルウェアです。
あんな機能やこんな機能、ちょっとわざとらしい機能、盛りだくさんです。

• 無害なふりをする機能
  このマルウェアは、VMで動作させられることを期待していません。
  一般のユーザの利用する通常のOSで動作することが期待されています。
  起動時にVMで動作しているかを検査し、VMであると判定されると、各種の無害なふりをするための動作を実施します。
  期待動作しないかもしれないよというダイアログを表示する、無意味にGoogleにpingする、デスクトップにconfig.iniファイルを作成する、無害なURLにHTTP GETリクエストを実施する、乱数を出力する、ランダムな文字を出力する、などです。
  これらに何ら意味は見出せません。
  単にVMだったから終了する、としてしまうと、マルウェア扱いされて解析されるということを嫌って、こんな機能がついているのでしょうか。
• RAT機能
  C2からの指示で各種コマンドを実行する機能が搭載されています。
  C2へのping機能、シェルコマンド実行機能、実行中プロセス表示機能、ファイル実行機能、クリップボード内容書き換え機能（暗号資産の盗難のための機能）、追加ペイロードダウンロード機能、無害なふりをする機能を起動する機能、永続化設定実施機能、自分自身を終了する機能、自分自身を削除する機能などが実装されています。
• インフォスティーラー機能
  Webブラウザ情報取得機能（coockieや保存されたパスワードなどを取得します）、暗号資産取得機能（各種ウォレットの情報を吸い出します）、ファイル取得機能（現地のファイルを持ち出します）などが搭載されています。
  収集した情報はまとめて圧縮され、C2の脅威アクターに送信されます。

ところで、Go言語はいろいろな環境で動作するようにコンパイルすることができます。
このマルウェアは、Windowsだけでなく、macOSもターゲットとなっています。
多くの機能はGoの効能でそのままどちらの環境でも動作しますし、永続化機能の部分についてはそういうわけにはいかないのですが、ターゲット環境に適する内容が実装されていますので、永続化できてしまいます。
少ないコードでいろいろな環境に対応できるというGo言語の効能は、脅威アクターにも味方してしまいます。

このマルウェアの感染経路は、まだはっきり確認されていません。
しかし、マルウェアの配布されている状態のファイル名から推測すると、人気のアプリケーションのインストールパッケージを模倣したものとして配布されていることが考えられます。
日々私たちにはいろいろな脆弱性に対応する修正パッチを適用していくことが期待されますが、それだけでなく、人の心にも脆弱性対応が必要ということなのかもしれません。

参考記事（外部リンク）：Behind the scenes: JaskaGO’s coordinated strike on macOS and Windows
cybersecurity.att.com/blogs/labs-research/behind-the-scenes-jaskagos-coordinated-strike-on-macos-and-windows