Recursos de malware para linguagens de programação incomuns para escapar da detecção
Os pesquisadores da Blackberry Research and Intelligence publicaram um novo relatório destacando uma tendência interessante em malware. O documento de pesquisa mostra que um número crescente de programadores de malware está começando a se voltar para linguagens de programação incomuns e exóticas em seu esforço contínuo para produzir malware que seja capaz de passar despercebido pelo radar.
O relatório se concentrou em quatro linguagens de programação separadas, especificamente escolhendo-as entre o grupo devido ao fato de que, embora estejam localizadas fora do mainstream, ainda estão relativamente bem desenvolvidas e têm um forte apoio da comunidade e recursos disponíveis para elas.
Os agentes de ameaças que desenvolvem malware começaram a reescrever ferramentas de malware populares, codificando-as do zero com funcionalidades muito semelhantes, mas usando uma nova linguagem como base. Isso levou a um número crescente de novas famílias de malware sendo identificadas e catalogadas por pesquisadores, mesmo se o novo malware for funcionalmente semelhante a cepas existentes, simplesmente por causa da base de código e linguagem diferentes usadas.
O relatório também destaca uma tendência entre os agentes de ameaças de concentrar sua atenção no desenvolvimento de carregadores e droppers de arquivos, usando linguagens de programação incomuns.
Dentre as linguagens examinadas na pesquisa, Go se destaca como um grande destaque. É uma linguagem estrutural e funcionalmente semelhante a C ++, a ponto de o compilador de Go também ter sido originalmente escrito em C ++, antes de mudar para Go.
Existem dois atores de ameaças significativas e específicas que concentraram muitos de seus esforços de desenvolvimento no uso do Go. Esses são APT28 e APT29 - ambos grupos de ameaças que operam fora dos territórios russos.
Outras linguagens notáveis que vêm ganhando popularidade entre os autores de malware incluem Rust, Nim e Dlang ou simplesmente a linguagem de programação D.
Além de confundir alguns mecanismos e sistemas de detecção, o malware escrito e compilado em uma linguagem exótica também pode diminuir significativamente os esforços dos pesquisadores para descompilar e fazer engenharia reversa do novo malware, simplesmente por causa da prevalência de ferramentas focadas em linguagens mais comuns.
A Blackberry Research destacou a necessidade dos pesquisadores de malware acompanharem essas tendências em evolução se quiserem ser eficazes.