Calígula e Backdoorit: malwares de programadores em linguagem Go

O extravagante e cruel imperador romano Calígula serviu de inspiração a um malware, enquanto outro entra pela “porta dos fundos”.

A linguagem Go está ganhando seu espaço, entre outros motivos porque permite desenvolver aplicativos para vários sistemas operacionais e arquiteturas, trazendo consigo todas as dependências.

O cibercrime não perde tempo e novas variantes de malwares são descobertas a cada semana, muitas utilizam ferramentas código aberto hospedadas no GitHub, neste caso, a Hellabot*.

Recentemente, nossos pesquisadores montaram armadilhas para atrair malwares (honeypots ou “potes de mel”, em tradução livre) e descobriu uma variante do Calígula que sequestra outros dispositivos, cria uma rede zumbi (botnet) e, depois, lança ataques em larga escala (DDoS).

Inicialmente, o Calígula passava despercebido à maioria dos antivírus

Escrito na linguagem Go, o Calígula é distribuído em arquivos .elf, um executável portátil utilizado em sistemas operacionais Unix e, por sua versatilidade, nos sistemas de jogos populares* como o Nintendo Wii e os PlayStation da Sony.

Atinge os sistemas Linux e Windows (via WSL) e vários processadores, Intel 80386 (32-bit), ARM (32-bit), PowerPC (64-bit) e AMD (64-bit), ou seja, praticamente todo mundo.

Nossa equipe também analisou o Backdoorit – uma ferramenta de administração remota (ou RAT, Remote Administrator Tool) também conhecida por creepware –, um malware que controla remotamente o dispositivo e se “esconde” dos aplicativos de segurança.

O Backdoorit se “esconde” da maioria dos antivírus

O Backdoorit está projetado para roubar arquivos do Minecraft, dos projetos Visual Studio e IntelliJ*, mas consegue também instalar outros malwares e fazer capturas da tela (screenshots) para roubar dados. Algumas evidências apontam que o autor do malware é ou fala russo.

Outra maldade desse malware é que, ao ser detectado, ele dispara um processo de autodefesa que usa falhas do Windows (CVE-2021-24098*) para corromper o sistema de arquivos* do disco rígido (CVE-2021-28312*) e eliminar provas da infecção.

Avast Free Antivírus bloqueia o Calígula e, no momento da publicação deste artigo, apenas 25 dos 61 programas de segurança analisados pelo VirusTotal detectam essa ameaça. O mesmo acontece com o Backdoorit, onde somente 26 produtos conseguem bloquear o ataque, segundo o VirusTotal.

Mais informações técnicas você encontra no nosso blog Decoded*.


A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.

* Original em inglês.

Photo by ELLA DON on Unsplash

--> -->