Os desenvolvedores de malware estão cada vez mais se voltando para linguagens de programação incomuns ou “exóticas” para impedir os trabalhos de análise, dizem os pesquisadores de segurança da informação.
De acordo com um novo relatório publicado pela equipe de Pesquisa e Inteligência do BlackBerry, houve uma “escalada” recente no uso de Go (Golang), D (DLang), Nim e Rust, que estão sendo usados mais comumente para ” evitar a detecção pela comunidade de segurança ou abordar os pontos problemáticos específicos em seu processo de desenvolvimento. “
Em particular, os desenvolvedores de malware estão experimentando carregadores e droppers escritos nessas linguagens, criados para serem adequados para a implantação de malware em estágios iniciais e posteriores em uma cadeia de ataque.
A equipe do BlackBerry afirma que os droppers e carregadores básicos estão se tornando mais comuns para evitar a detecção em um endpoint de destino. Sendo assim, o malware contorna os controles de segurança existentes capazes de detectar formas mais típicas de código malicioso. Portanto, eles servem para decodificar, carregar e implantar malware, incluindo cavalos de Tróia.
Desenvolvedores de malware recorrem a linguagens de programação incomuns para driblar pesquisadores
O malware de commodities citado no relatório inclui os Trojans de acesso remoto (RATs) Remcos e NanoCore. Além disso, há beacons Cobalt Strike frequentemente implantados.
Alguns desenvolvedores, no entanto – com mais recursos à disposição – estão reescrevendo seu malware totalmente em novas linguagens, por exemplo, Buer to RustyBuer.
Com base nas tendências atuais, os pesquisadores de segurança cibernética dizem que Go é de interesse particular para a comunidade cibercriminosa.
De acordo com o BlackBerry, tanto os grupos patrocinados pelo estado de ameaças persistentes avançadas (APT) quanto os desenvolvedores de malware de commodities estão se interessando seriamente pela linguagem de programação para atualizar seus arsenais. Em junho, CrowdStrike disse que uma nova variante de ransomware pegou recursos de HelloKitty/DeathRansom e FiveHands. No entanto, usou um empacotador Go para criptografar sua carga útil principal.
“Essa suposição tem por base o fato de que novas amostras baseadas em Go agora estão aparecendo em uma base semirregular, incluindo malware de todos os tipos e visando todos os principais sistemas operacionais em várias campanhas”, disse a equipe.
Embora não seja tão popular quanto Go, DLang também experimentou um lento aumento na adoção ao longo de 2021.
Novas linguagens
Ao usar linguagens de programação novas ou mais incomuns, os pesquisadores dizem que podem dificultar os esforços de engenharia reversa. Assim, evitam ferramentas de detecção baseadas em assinatura, bem como melhorar a compatibilidade cruzada em relação aos sistemas alvo. A própria base de código também pode adicionar uma camada de ocultação sem nenhum esforço adicional do desenvolvedor do malware. Isso ocorre simplesmente por causa da linguagem em que foi escrita.
“Os autores de malware são conhecidos por sua capacidade de se adaptar e modificar suas habilidades e comportamentos para aproveitar as vantagens das tecnologias mais recentes”. Foi o que comentou Eric Milam, vice-presidente de pesquisa de ameaças da BlackBerry. “Isso traz vários benefícios do ciclo de desenvolvimento e da falta inerente de cobertura das soluções de proteção. É fundamental que a indústria e os clientes entendam e mantenham o controle sobre essas tendências, pois elas só vão aumentar.”
Via ZDNet
