Hakerët po kthehen në gjuhë programimi ‘ekzotike’ për zhvillimin e malware
Aktorët e kërcënimeve gjithnjë e më shumë po zhvendosen në gjuhë programimi “ekzotike” të tilla si Go, Rust, Nim dhe Dlang që mund të shmangin më mirë mbrojtjet konvencionale të sigurisë, t’i shmangen analizës dhe të pengojnë përpjekjet e kundërta të inxhinierisë.
“Autorët e malware janë të njohur për aftësinë e tyre për të përshtatur dhe modifikuar aftësitë dhe sjelljet e tyre për të përfituar nga teknologjitë më të reja,” tha Eric Milam, Zëvendës President i Kërkimit të Kërcënimeve në BlackBerry. “Kjo taktikë ka përfitime të shumta nga cikli i zhvillimit dhe mungesa e qenësishme e mbulimit nga produktet mbrojtëse.”
Nga njëra anë, gjuhët si Rust janë më të sigurta pasi ofrojnë garanci si programimi i sigurt për kujtesën, por ato mund të jenë gjithashtu një shpatë me dy tehe kur inxhinierët e malware abuzojnë me të njëjtat veçori të krijuara për të ofruar mbrojtje në rritje në avantazhin e tyre, duke bërë kështu malware. më pak të ndjeshëm ndaj shfrytëzimit dhe pengojnë përpjekjet për të aktivizuar një ndërprerës vrasës dhe për t’i bërë ata të pafuqishëm.
Duke vënë në dukje se binarët e shkruar në këto gjuhë mund të duken më komplekse, të ndërlikuara dhe të lodhshme kur çmontohen, studiuesit thanë se strumbullari shton shtresa shtesë të errësimit, thjesht për shkak të faktit se ato janë relativisht të reja, duke çuar në një skenar ku malware më të vjetër u zhvilluan duke përdorur gjuhë tradicionale si C ++ dhe C# janë duke u ritoouar në mënyrë aktive me lëshues dhe ngarkues të shkruar në alternativa të pazakonta për të shmangur zbulimin nga sistemet e sigurisë të pikës fundore.
Në fillim të këtij viti, firma e sigurisë së ndërmarrjeve Proofpoint zbuloi malware të ri të shkruar në Nim (NimzaLoader) dhe Rust (RustyBuer) që thuhet se po përdoreshin në fushata aktive për shpërndarjen dhe vendosjen e llojeve të Cobalt Strike dhe ransomware përmes fushatave inxhinierike sociale. Në një mënyrë të ngjashme, CrowdStrike muajin e kaluar vëzhgoi një mostër ransomware që huazoi zbatime nga variantet e mëparshme HelloKitty dhe FiveHands, ndërsa përdorte një pako Golang për të kriptuar ngarkesën e tij kryesore të bazuar në C ++.
“Programet e shkruara duke përdorur të njëjtat teknika dashakeqe, por në një gjuhë të re zakonisht nuk zbulohen me të njëjtën ritëm si ato të shkruara në një gjuhë më të pjekur,” përfunduan studiuesit e BlackBerry.
“Ngarkuesit, hedhësit dhe mbështjellësit […] në shumë raste thjesht po ndryshojnë fazën e parë të procesit të infeksionit në vend që të ndryshojnë përbërësit kryesorë të fushatës. Ky është aktori më i fundit në kërcënim që lëviz linjën jashtë kufirit të softuerit të sigurisë në një mënyrë që mund të mos shkaktojë në fazat e mëvonshme të fushatës origjinale. “