En un nuevo desarrollo, ha surgido un malware de robo de información basado en Go, bautizado como JaskaGO, que se presenta como la más reciente amenaza multiplataforma capaz de infiltrarse en sistemas tanto Windows como Apple macOS.

El equipo de AT&T Alien Labs, responsable del descubrimiento, reveló que este malware está “equipado con una amplia variedad de comandos provenientes de su servidor de comando y control (C&C)”.

Los artefactos diseñados para macOS fueron detectados por primera vez en julio de 2023, camuflándose como instaladores de software legítimo, como en el caso de CapCut. Otras variantes del malware adoptaron identidades falsas, haciéndose pasar por AnyConnect y diversas herramientas de seguridad.

Después de su instalación, JaskaGO lleva a cabo verificaciones para determinar si se está ejecutando en un entorno de máquina virtual (VM). En caso afirmativo, realiza tareas aparentemente inofensivas, como hacer ping a Google o imprimir un número aleatorio, presumiblemente con la intención de pasar desapercibido.

En otros escenarios, JaskaGO procede a recopilar información del sistema de la víctima y establece una conexión con su servidor de comando y control para recibir instrucciones adicionales. Estas instrucciones incluyen la ejecución de comandos de shell, la enumeración de procesos en ejecución y la descarga de cargas útiles adicionales. La complejidad y la versatilidad de este malware plantean nuevas preocupaciones para la seguridad cibernética.

Además, posee la capacidad de manipular el portapapeles, simplificando así el robo de criptomonedas al sustituir direcciones de billetera y redirigir archivos y datos de los navegadores web.

En palabras del investigador de seguridad Ofer Caspi, “En macOS, JaskaGO sigue un proceso de varios pasos para establecer la persistencia dentro del sistema”. Describió cómo el malware puede ejecutarse con permisos de root, deshabilitar las protecciones Gatekeeper y crear un demonio de lanzamiento personalizado (o agente de lanzamiento) para asegurar su inicio automático durante el arranque del sistema.

Actualmente, no se dispone de información sobre cómo se distribuye este malware ni si implica técnicas de phishing o cebos de publicidad maliciosa. La escala de la campaña aún no está clara.

Caspi señaló: “JaskaGO se suma a la tendencia en aumento del desarrollo de malware que aprovecha el lenguaje de programación Go”. Explicó que Go, también conocido como Golang, destaca por su simplicidad, eficiencia y capacidad multiplataforma. Su facilidad de uso ha convertido a este lenguaje en una opción atractiva para los creadores de malware que buscan desarrollar amenazas versátiles y sofisticadas.