An IRC (Internet Relay Chat) botstam die is geprogrammeerd in GoLang, wordt gebruikt om gedistribueerde denial-of-service (DDoS)-aanvallen uit te voeren die gericht zijn op gebruikers in Korea.
"De malware wordt verspreid onder het mom van games voor volwassenen", onderzoekers van AhnLab's Security Emergency-response Center (ASEC) zei in een nieuw rapport dat woensdag werd gepubliceerd. “Bovendien werd de DDoS-malware geïnstalleerd via de downloader en UDP-RAT was gebruikt."
De aanval werkt door de malware-geregen games te uploaden naar webhards, wat verwijst naar een web-harde schijf of een externe bestandshostingservice, in de vorm van gecomprimeerde ZIP-archieven die, wanneer ze worden geopend, een uitvoerbaar bestand ("Game_Open.exe") bevatten dat is georkestreerd om een malware-payload uit te voeren naast het starten van de eigenlijke game.
Deze payload, een op GoLang gebaseerde downloader, brengt verbindingen tot stand met een remote command-and-control (C&C)-server om extra malware op te halen, waaronder een IRC-bot die DDoS-aanvallen kan uitvoeren.
"Het is ook een type DDoS Bot-malware, maar het gebruikt IRC-protocollen om te communiceren met de C&C-server", zo beschrijven de onderzoekers. “In tegenstelling tot UDP Rat die alleen UDP Flooding-aanvallen ondersteunde, kan het ook aanvallen ondersteunen zoals: slowloris, Goldeneye en Hulk DDoS.”
De lage ontwikkelingsproblemen van GoLang en de platformonafhankelijke ondersteuning hebben de programmeertaal tot een populaire keuze gemaakt voor bedreigingsactoren, voegde de onderzoekers eraan toe.
"De malware wordt actief verspreid via websites voor het delen van bestanden, zoals Koreaanse webhards", zegt AhnLab. “Als zodanig is voorzichtigheid geboden bij het benaderen van uitvoerbare bestanden die zijn gedownload van een website voor het delen van bestanden. Het wordt gebruikers aangeraden om producten te downloaden van de officiële websites van ontwikkelaars.”
Bron: https://thehackernews.com/2022/01/ddos-irc-bot-malware-spreading-through.html
