Godlike12

Godlike12 é uma ameaça de malware de backdoor escrita na linguagem Go. Sua criação é atribuída a um grupo de criminosos ATP (Advanced Persistent Threat) que os pesquisadores de segurança cibernética batizaram de Holy Water APT. Godlike12 foi detectado como parte de uma campanha de ataque a um water-hole contra um grupo religioso e étnico na Ásia. Os especialistas que analisaram o código subjacente da ameaça encontraram pistas em seu mecanismo de ofuscação que apontam para fóruns clandestinos em chinês. Godlike12 se comunica com seus servidores de Comando e Controle (C&C, C2) por meio de um espaço do Google Drive, graças à API HTTPS v3 do Google Drive. Na verdade, o nome da ameaça - Godlike12, vem do nome que os hackers deram ao espaço do Google Drive.

Após a sua primeira execução no computador da vítima, Godlike12 começa a extrair informações. Ele registra o endereço IP, endereço MAC, versão do Windows e nome do host. Todos os dados coletados são criptografados, armazenados como um arquivo de texto localizado em % TEMP%/[ID]-lk.txt e, em seguida, enviados para a unidade do Google. Para receber instruções adicionais, Godlike12 realiza verificações frequentes para um [ID] -cs.txt remoto que contém comandos criptografados. Deve-se notar que a ameaça backdoor em si não tem nenhum mecanismo de persistência, já que essa função é relegada à ferramenta de carregamento empregada pelo APT Água Benta.