< p class="meta"> Di Charlie Osborne per Zero Day | 27 luglio 2021 — 10:13 GMT (11:13 BST) | Argomento: sicurezza
Gli sviluppatori di malware si rivolgono sempre più a linguaggi di programmazione insoliti o “esotici” per ostacolare gli sforzi di analisi, affermano i ricercatori.
Secondo un nuovo rapporto pubblicato da BlackBerry Research & Lunedì, c'è stata una recente “escalation” nell'uso di Go (Golang), D (DLang), Nim e Rust, che vengono utilizzati più comunemente per “cercare di eludere il rilevamento da parte della comunità di sicurezza, o affrontare punti deboli specifici nel loro processo di sviluppo.”
In particolare, gli sviluppatori di malware stanno sperimentando caricatori e dropper scritti in questi linguaggi, creati per essere adatti alla prima e successiva distribuzione di malware in una catena di attacchi.
Il team di BlackBerry afferma che dropper e loader di prima fase stanno diventando più comuni per evitare il rilevamento su un endpoint di destinazione e, una volta che il malware ha aggirato i controlli di sicurezza esistenti in grado di rilevare forme più tipiche di codice dannoso, vengono utilizzati per decodificare, caricare e distribuire malware inclusi i trojan.
Il malware di base citato nel rapporto include i Trojan di accesso remoto (RAT) Remcos e NanoCore. Inoltre, i beacon Cobalt Strike sono spesso schierati.
Alcuni sviluppatori, tuttavia, con più risorse a loro disposizione, stanno riscrivendo completamente il loro malware in nuovi linguaggi, ad esempio Buer to RustyBuer.
Sulla base delle tendenze attuali, i ricercatori sulla sicurezza informatica affermano che Go è di particolare interesse per la comunità dei criminali informatici.
Secondo BlackBerry, sia i gruppi sponsorizzati dallo stato APT (Advanced Persistent Threat), sia gli sviluppatori di malware di base si stanno seriamente interessando al linguaggio di programmazione per aggiornare i loro arsenali. A giugno, CrowdStrike ha affermato che una nuova variante di ransomware ha preso in prestito funzionalità da HelloKitty/DeathRansom e FiveHands, ma ha utilizzato un pacchetto Go per crittografare il suo payload principale.
“Questa ipotesi si basa sul fatto che i nuovi campioni basati su Go stanno ora comparendo su base semi-regolare, inclusi malware di tutti i tipi e prendono di mira tutti i principali sistemi operativi in più campagne”, il team dice.
Sebbene non sia così popolare come Go, anche DLang ha registrato un lento aumento dell'adozione nel corso del 2021.
Utilizzando linguaggi di programmazione nuovi o più insoliti, i ricercatori affermano che potrebbero ostacolare gli sforzi di reverse engineering ed evitare la firma basati su strumenti di rilevamento, oltre a migliorare la compatibilità incrociata rispetto ai sistemi di destinazione. La stessa base di codice può anche aggiungere un livello di occultamento senza ulteriori sforzi da parte dello sviluppatore di malware semplicemente a causa della lingua in cui è scritta.
“Gli autori di malware sono noti per la loro capacità di adattare e modificare le proprie abilità e comportamenti per sfruttare le tecnologie più recenti”, ha commentato Eric Milam, VP di Threat Research presso BlackBerry. “Ciò ha molteplici vantaggi dal ciclo di sviluppo e dall'intrinseca mancanza di copertura dalle soluzioni protettive. È fondamentale che l'industria e i clienti comprendano e tengano sotto controllo queste tendenze, poiché sono destinate ad aumentare”.
Copertura precedente e correlata
Microsoft: abbiamo reso open-source questo strumento che abbiamo usato per dare la caccia al codice dagli hacker di SolarWinds
Questo malware è stato scritto in un linguaggio di programmazione insolito per impedirne l'accesso essere rilevato
GitHub: Ecco come stiamo cambiando le nostre regole sulla ricerca di vulnerabilità di malware e software
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al numero +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Security TV Data Management CXO Data Center 