За три года число вредоносов на языке Go возросло на 2000%

С 2017 года число вредоносного ПО, написанного на языке программирования Golang (Go), выросло на 2000%, предупредили специалисты ИБ-компании Intezer в своем новом отчете .

В последние несколько лет специалисты наблюдают тренд постепенного перехода вирусописателей с языков C и C++ к языку Go, разработанному и запущенному Google в 2007 году. В то время как первые вредоносы, написанные на Go, были замечены еще в 2012 году, привычным явлением они стали только несколько лет спустя - начиная с 2019 года. При этом подобные вредоносы используют как APT-группировки, например, APT28 (версия трояна Zebrocy, написанная на Go), APT29 (WellMess), Mustang Panda APT (Go Loader), так и киберпреступные группы, такие как Carbanak (GOSH RAT). Кроме того, на языке Go написаны и новые виды вымогательского ПО (RobbinHood, Nefilim, EKANS).

В числе основных причин роста популярности Golang эксперты называют следующие:

• Go поддерживает кросс-платформенную компиляцию, что позволяет вирусописателям написать код и на его основе скомпилировать бинарные файлы для различных платформ - Windows, macOS или Linux.

• Бинарные файлы на Go сложно анализировать и осуществлять реверс-инжиниринг, поэтому такое вредоносное ПО обладает низким уровнем детектирования.

• Go поддерживает работу с сетевыми пакетами и запросами.

Как пояснили исследователи, Go имеет хорошо написанный сетевой стек, с которым легко работать. Кроме того, этот язык стал основным в облачной сфере, например, приложения Docker, Kubernetes, InfluxDB, Traefik, Terraform, CockroachDB, Prometheus и Consul написаны на Go.

Поскольку вредоносные программы обычно модифицируют, собирают или отправляют/получают сетевые пакеты, Go предоставляет вирусописателям все нужные инструменты, поэтому неудивительно, что авторы вредоносного ПО отказываются от C и C++ в пользу Golang.

«Большое количество этих вредоносных семейств представляют собой ботнеты, созданные для атак на Linux- и IoT-устройства в целях установки криптомайнеров или вовлечения инфицированных машин в DDoS-ботнеты. Кроме того, написанное на Go вымогательское ПО становится более распространенным», - пишут эксперты.

По прогнозам Intezer, в ближайшие годы популярность Go продолжит расти и данный язык станет предпочтительным для вирусописателей наравне с C, C++ и Python.