JaskaGO Malware

Se ha descubierto un nuevo y sofisticado malware llamado JaskaGO, por el equipo de AT&T Alien Labs, desarrollado utilizando el lenguaje de programación Go (Golang), y preparado para mantener su presencia dentro de los sistemas infectados. Su propósito es robar información del sistema, incluyendo las credenciales guardadas en las cookies de los navegadores, y datos de criptomonedas. Se detectó por primera vez en julio del 2023 afectando a usuarios de Mac, sin embargo, la amenaza ha evolucionado, mejorando sus capacidades. Hoy por hoy es una amenaza multiplataforma pues se dirige a los sistemas operativos macOS y Windows. Este malware tiene un porcentaje muy bajo de detección, según muestras recientes de antivirus.

Como una estrategia común para ocultar sus ejecutables bajo nombres de software legítimo, JaskaGO nombra sus archivos como si fuesen aplicaciones muy conocidas, tales como “Capcut_Installer_Intel_M1.dmg” o “Annyconnect.exe”. JaskaGO muestra un mensaje de error falso mencionando que falta un archivo para que el malware pueda ejecutarse, haciéndoles creer a los usuarios que el código malicioso falló.

 

Una vez dentro del sistema, el malware buscar detectar si está dentro de un ambiente de máquina virtual, para, en dado caso, saber que probablemente se encuentra en un ambiente de pruebas y así intentar no demostrarle al tester cómo funciona el código, haciendo que no se ejecute el código malicioso, pero sí haciendo una operación aleatoria, sin grandes efectos de la siguiente lista:

• Hacer ping a Google.
• Crear un archivo en el escritorio.
• Listar los archivos del escritorio.
• Listar las direcciones IP locales.
• Hacer una petición HTTP GET a https://www.web3api.com. 
• Imprimir un número aleatorio.
• Crear un directorio con un nombre aleatorio.
• Imprimir un string aleatorio.

Si el malware no detecta que se encuentra en un ambiente de máquina virtual, empieza a recolectar información de la víctima y establece una conexión a su C2 (Command and Control) para realizar más actividades. Los potenciales comandos los realiza de manera aleatoria tomándolos de la siguiente lista:

• Funciones para robar información obteniéndolas del dispositivo infectado y enviándolas al servidor de C2.
• Ejecutar comandos de Shell.
• Mostrar múltiples cajas de mensajes de alerta.
• Recuperar la lista de los procesos activos.
• Ejecutar archivos en el disco o en la memoria.
• Editar el clipboard (una manera  común para robar fondos de criptomonedas).
• Descargar y ejecutar payloads adicionales.
• Iniciar el proceso para salir y eliminarse.

 

JaskaGO está equipado con muchas maneras para extraer información, guardando los datos robados en una carpeta, ingresándolas en un archivo comprimido y enviándolas al atacante. De los navegadores puede extraer credenciales, historial, cookies, llaves de encriptación de contraseñas, archivos del perfil (profile.ini) e información de inicios de sesión.
 

Recomendaciones

• Mantener los sistemas y el software de seguridad actualizados.
• Concientización de los empleados sobre los métodos de Phishing e Ingeniería social.
• Utilizar soluciones de virtualización.
• Realizar copias de seguridad de forma regular.
• Tener filtros de correo electrónico y spam.
• Revisar continuamente los privilegios de los usuarios.
• Tener políticas de control de accesos
• Revisar los logs de ejecución de software de acceso remoto.
• Mantener una solución EDR para monitorear amenazas por comportamiento.

Indicadores de compromiso

Tipo	Indicador de compromiso	Descripción
FileHash-SHA256	7bc872896748f346fdb2426c774477c4f6dcedc9789a44bd9d3c889f778d5c4b	Windows malware hash
FileHash-SHA256	f38a29d96eee9655b537fee8663d78b0c410521e1b88885650a695aad89dbe3f	macOS malware hash
FileHash-SHA256	6efa29a0f9d112cfbb982f7d9c0ddfe395b0b0edb885c2d5409b33ad60ce1435	Windows malware hash
FileHash-SHA256	f2809656e675e9025f4845016f539b88c6887fa247113ff60642bd802e8a15d2	Windows malware hash
FileHash-SHA256	85bffa4587801b863de62b8ab4b048714c5303a1129d621ce97750d2a9a989f9	Windows malware hash
FileHash-SHA256	37f07cc207160109b94693f6e095780bea23e163f788882cc0263cbddac37320	Windows malware hash
FileHash-SHA256	e347d1833f82dc88e28b1baaa2657fe7ecbfe41b265c769cce25f1c0e181d7e0	Windows malware hash
FileHash-SHA256	c714f3985668865594784dba3aeda1d961acc4ea7f59a178851e609966ca5fa6	Windows malware hash
FileHash-SHA256	9b23091e5e0bd973822da1ce9bf1f081987daa3ad8d2924ddc87eee6d1b4570d	Windows malware hash
FileHash-SHA256	1c0e66e2ea354c745aebda07c116f869c6f17d205940bf4f19e0fdf78d5dec26	Windows malware hash
FileHash-SHA256	e69017e410aa185b34e713b658a5aa64bff9992ec1dbd274327a5d4173f6e559	Windows malware hash
FileHash-SHA256	6cdda60ffbc0e767596eb27dc4597ad31b5f5b4ade066f727012de9e510fc186	macOS malware hash
FileHash-SHA256	44d2d0e47071b96a2bd160aeed12239d4114b7ec6c15fd451501c008d53783cf	Windows malware hash
FileHash-SHA256	8ad4f7e14b36ffa6eb7ab4834268a7c4651b1b44c2fc5b940246a7382897c98e	Windows malware hash
FileHash-SHA256	888623644d722f35e4dcc6df83693eab38c1af88ae03e68fd30a96d4f8cbcc01	Windows malware hash
FileHash-SHA256	3f139c3fcad8bd15a714a17d22895389b92852118687f62d7b4c9e57763a8867	Windows malware hash
FileHash-SHA256	207b5ee9d8cbff6db8282bc89c63f85e0ccc164a6229c882ccdf6143ccefdcbc	macOS malware hash
FileHash-MD5	2eac771e9175fca7db6fa3f4d000890f
FileHash-MD5	78308b32ffbf45bc34cfd0333fd417d4	sandboxdetect_misc
FileHash-MD5	82efd3e201473bc746fc4b8cddfec8ee	sandboxdetect_misc
FileHash-MD5	9a2e24f547cb05509eca43f709d04ca8	sandboxdetect_misc
FileHash-MD5	b554426c19c687fe56f592ee55da9037	sandboxdetect_misc
FileHash-MD5	fb7a0dcd4769c1e10fd773299f81a2f7	sandboxdetect_misc
FileHash-SHA1	02c3e951869977cba8f02041d967878452257481	sandboxdetect_misc
FileHash-SHA1	1d8b7fe1999b7a1cbf480a9fe018cdb05a78ec80	sandboxdetect_misc
FileHash-SHA1	31bc0b83033eed0e10a87bb2014d7640262ad4ba	sandboxdetect_misc
FileHash-SHA1	b801b322810c78ff6ef0219d4d3a969e2bbc3ccc	sandboxdetect_misc

Taxonomía de ataque

Táctica	Técnica	ID
Persistence	Create or Modify System Process: Launch Agent	T1543.001
Persistence	Create or Modify System Process: Windows Service	T1543.003
Persistence	Create or Modify System Process: Launch Daemon	T1543.004
Discovery	System Information Discovery	T1082
Discovery	Process Discovery	T1057
Discovery	Software Discovery: Security Software Discovery	T1518.001
Command and Control	Non-Standard Port	T1571
Exfiltration	Automated Exfiltration	T1020
Exfiltration	Exfiltration Over C2 Channel	T1041

Referencias

Referencias bibliográficas
https://cybersecurity.att.com/blogs/labs-research/behind-the-scenes-jaskagos-coordinated-strike-on-macos-and-windows
https://thehackernews.com/2023/12/new-go-based-jaskago-malware-targeting.html
https://www.hackread.com/jaskago-malware-mac-windows-crypto-browser-data/
https://securityaffairs.com/156185/malware/jaskago-information-stealer-macos-windows.html
https://www.pcrisk.com/removal-guides/28651-jaskago-malware

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios