Algunos programas maliciosos están diseñados para ejecutarse en varias plataformas y, por lo general, están escritos en Java. Por ejemplo, el malware Adwind (presentado en un artículo anterior ) está escrito en Java y se ejecuta en Windows y otros sistemas operativos. Golang es otro lenguaje de programación y se usa para el controlador Mirai, que infecta los sistemas Linux.
Este artículo presenta el comportamiento del malware WellMess según nuestra observación. Es un tipo de malware programado en Golang y compilado de forma cruzada para hacerlo compatible tanto con Linux como con Windows. Para obtener más detalles sobre la función de malware, consulte también el informe de LAC.
Generalmente, los archivos ejecutables de Golang incluyen muchas bibliotecas requeridas en sí mismos. Esto generalmente aumenta el tamaño del archivo, lo que hace que WellMess sea más grande que 3 MB. Otra característica es que los nombres de las funciones de los archivos ejecutables se pueden encontrar en el propio archivo. (Incluso para archivos despojados, los nombres de las funciones se pueden recuperar usando herramientas como GoUtils2.0).
Como se mencionó anteriormente, WellMess tiene una versión que se ejecuta en Windows (PE) y otra en Linux (ELF). Aunque existen algunas diferencias menores, ambos tienen la misma funcionalidad.
El malware se comunica con un servidor C&C mediante solicitudes HTTP y realiza funciones basadas en los comandos recibidos.
El malware puede realizar las siguientes funciones al recibir comandos de un servidor C&C.
- Ejecutar comando de shell arbitrario
- Cargar / descargar archivos
Además, el malware de archivos PE ejecuta scripts de PowerShell.
También hay una versión que se desarrolló en .Net Framework. La Figura 1 muestra el código que genera los datos contenidos en el encabezado de la Cookie al comunicarse con un servidor C&C. Contiene la misma cadena que en los datos de las cookies en la versión de Golang.
Se han confirmado algunos casos en los que se encontró la infección de WellMess en organizaciones japonesas. Es posible que continúen los ataques con malware.
Se han enumerado algunos valores hash de las muestras en el Apéndice A. Algunos de los servidores C&C que se han confirmado también se enumeran en el Apéndice B. Asegúrese de que ninguno de sus dispositivos acceda a dichos hosts.
