Le langage Go a de plus en plus la côte auprès des cybercriminels

Par:
fredericmazue

ven, 05/07/2019 - 16:20

C'est assez inattendu, mais d'après un billet sur le blog de l'entreprise de sécurité Palo Alto Networks, le langage Go est de plus en plus utilisé par les cybercriminels pour coder leurs programmes malveillants.

Pourquoi ? Parce que, selon le billet de Palo Alto Networks, Go comporte un certain nombre de fonctionnalités qui incitent un attaquant à l'utiliser. Ainsi l’un des plus grands attraits de Go serait le fait qu’une seule base de code peut être compilée pour toutes les grandes plates-formes de système d’exploitation, notamment Windows, OSX et Linux. Cela permet à un attaquant de se concentrer sur une base de code unique pouvant être utilisée pour infecter les victimes sur diverses plates-formes, par opposition à d'autres langages de programmation pouvant obliger à maintenir de trois référentiels de code différents.

Par exemple, si Python, langage très populaire peut lui aussi être utilisé - et l'a été notamment par le groupe de cybercriminels Chafer - il ne fait pas partie de l'environnement Windows nativement. Un logiciel malveillant devrait donc d'abord installer Python sur la machine avant de l'attaquer. C'est compliqué et ça laisse des traces... :-)

Un autre point fort de Go pour les cybercriminels, toujours selon le billet de Palo Alto Networks, est que toutes les bibliothèques nécessaires au fonctionnement de l'exécutable sont liées statiquement dans le binaire compilé. Cela présente l'avantage que cet exécutable peut tourner partout, sans se heurter à l'absence d'une bibliothèque sur la machine attaquée, et, le croirez-vous, cela présente l'avantage que cet exécutable est lourd. Ainsi dans certaines circonstances, les produits antivirus peuvent ignorer les fichiers ou ne pas être en mesure de les analyser s'ils sont trop volumineux. Dans le passé, des attaques ciblées impliquant la famille de logiciels malveillants Comnie ont été observées. Les auteurs de logiciels malveillants ont ajouté 64 Mo de données inutilisables à leurs fichiers afin de contourner les produits antivirus, souligne l'auteur du billet.