Специалисты Cisco Talos обнаружили необычный Windows-RAT (remote access trojan) AthenaGo, который привлек внимание исследователей тем, что он написан на языке Go и использует в работе Tor2Web-прокси. Стоит отметить, что малварь, написанная на Go, встречается достаточно редко, особенно для Windows. Никаких минусов в «производительности» у подобных вредоноснов нет, но бинарники AthenaGo помогли специалистам узнать о малвари достаточно много и именно благодаря Go.
Исследователи пишут, что в настоящее время AthenaGo распространяется преимущественно посредством спама и атакует пользователей из Португалии. Даже вредоносные Word-файлы из таких писем замаскированы под сообщения от португальской почтовой службы. Как и многие другие вредоносы сегодня, AthenaGo использует вредоносные макросы в документах, срабатывание которых приводит к загрузке трояна. Согласно данным специалистов, бинарники AthenaGo и вредоносные Word-файлы подписаны одним и тем же юзернеймом. Отсюда исследователи делают вывод, что малварь создана и распространяется одним человеком.
Малварь поддерживает ряд команд, которые могут быть переданы ей с управляющего сервера: ListDir (список всех директорий зараженной системы), ListProcesses (генерировать список процессов), KillProcess (выполнить команду taskkill против целевого процесса), DownloadFile (загрузить и сохранить файл), DLRUN (скачать файл, сохранить в %TEMP% и выполнить), а также RunCMD (использует os/exec для выполнения системных команд на зараженной машине).
Интересно и другое: троян поставляется с двумя жестко закодированными доменами в коде, с которыми он связывается после заражения. Оба адреса используют наработки проекта Tor2Web.
«Серверы Tor2Web действуют как прокси и позволяют клиентам получить доступ к серверам, размещенным в Tor, без установки клиентского приложения Tor. Такой подход все больше привлекает киберпреступников. Использование Tor2Web и Tor в целом позволяет им сохранять анонимность. Также это затрудняет удаление контента, размещенного на серверах в Tor и усложняет обнаружение физического расположения Tor-сервера», — объясняют исследователи.
