El malware recurre a lenguajes de programación inusuales para evadir la detección
Investigadores de Blackberry Research and Intelligence han publicado un nuevo informe que destaca una tendencia interesante en el malware. El artículo de investigación muestra que un número creciente de codificadores de malware están comenzando a recurrir a lenguajes de programación inusuales y exóticos en su esfuerzo continuo por producir malware que pueda pasar desapercibido bajo el radar.
El informe se centró en cuatro lenguajes de programación separados, seleccionándolos específicamente entre el grupo debido al hecho de que, si bien están ubicados fuera de la corriente principal, todavía están relativamente bien desarrollados y tienen un fuerte respaldo comunitario y recursos disponibles para ellos.
Los actores de amenazas que desarrollan malware han comenzado a reescribir herramientas populares de malware, codificándolas desde cero con una funcionalidad muy similar, pero utilizando un nuevo lenguaje como base. Esto ha llevado a que los investigadores identifiquen y cataloguen un número creciente de nuevas familias de malware, incluso si el nuevo malware es funcionalmente similar a las cepas existentes, simplemente debido a la diferente base de código y lenguaje utilizado.
El informe también destaca una tendencia entre los actores de amenazas a centrar su atención en el desarrollo de cargadores y descargadores de archivos, utilizando lenguajes de programación poco comunes.
Entre los idiomas examinados en el trabajo de investigación, Go se destaca como un gran destaque. Es un lenguaje que es estructural y funcionalmente similar a C ++, hasta el punto en que el compilador de Go también se escribió originalmente en C ++, antes de cambiar a Go.
Hay dos actores de amenazas importantes y específicos que han centrado gran parte de sus esfuerzos de desarrollo en el uso de Go. Esos son APT28 y APT29, ambos grupos de amenaza que se cree que operan fuera de los territorios rusos.
Otros lenguajes notables que han ido ganando popularidad entre los autores de malware incluyen Rust, Nim y Dlang o simplemente el lenguaje de programación D.
Además de confundir algunos mecanismos y sistemas de detección, el malware escrito y compilado en un lenguaje exótico también puede ralentizar significativamente los esfuerzos de los investigadores por descompilar y aplicar ingeniería inversa al nuevo malware, simplemente debido a la prevalencia de herramientas enfocadas en lenguajes más comunes.
Blackberry Research destacó la necesidad de que los investigadores de malware se mantengan al día con esas tendencias cambiantes si quieren ser efectivos.