Los actores de amenazas se están moviendo cada vez más hacia lenguajes de programación «exóticos» como Go, Rust, Nim y Dlang, que pueden eludir mejor la protección de seguridad convencional, evitar el análisis y obstaculizar los esfuerzos de ingeniería inversa.
«Los creadores de malware son conocidos por su capacidad para adaptarse y adaptar sus habilidades y comportamientos para aprovechar las tecnologías más nuevas», dijo Eric Milam, vicepresidente de investigación de amenazas de BlackBerry. «Esta táctica tiene una serie de beneficios del ciclo de desarrollo y una falta inherente de cobertura de productos de protección».
Por un lado, los lenguajes como Rust son más seguros porque ofrecen garantías como una programación segura para la memoria, pero también pueden ser un arma de doble filo cuando los ingenieros de malware aprovechan las mismas características que ofrecen una mayor protección, creando programa malicioso menos propensos a la explotación y frustrar los intentos de activar el interruptor de apagado y hacerlos impotentes.
Los investigadores notaron que los archivos binarios escritos en estos lenguajes pueden parecer más complejos, complejos y aburridos cuando se desmontan, y dijeron que el pivote agrega capas adicionales de confusión, simplemente porque son relativamente nuevos, lo que lleva a un escenario en el que el malware más antiguo evolucionó utilizando métodos tradicionales. idiomas como C ++ y C # se reelaboran activamente utilizando cuentagotas y cargadores de arranque escritos en alternativas inusuales para evitar la detección por parte de los sistemas de seguridad de punto final.
A principios de este año, la firma de seguridad empresarial Proofpoint descubrió un nuevo malware escrito en Nim (NimzaLoader) y Rust (RustyBuer), que dijo que se usaba en campañas activas para distribuir e implementar Cobalt Strike y ransomware a través de campañas de ingeniería social. En una línea similar, CrowdStrike el mes pasado observó una muestra de ransomware que tomaba prestadas implementaciones de variantes anteriores de HelloKitty y FiveHands, mientras usaba el paquete Golang para cifrar su principal carga útil basada en C ++.
Los últimos hallazgos de BlackBerry muestran que estos artefactos son parte de un aumento en la cantidad de actores de amenazas que han adoptado Dlang, Go, Nim y Rust en la última década para reescribir familias existentes o crear herramientas para nuevas suites de malware.
- Largo – DShell, Vovalex, OutCrypt, RemcosRAT
- Vamos – ElectroRAT, EKANS (también conocido como Snake), Zebrocy, WellMess, ChaChi
- Él – Cargadores NimzaLoader, Zebrocy, DeroHE, Cobalt Strike basados en Nim
- Óxido – Conversion Adware, RustyBuer, TeleBots Downloader y Backdoor, NanoCore Dropper, PyOxidizer
«Los programas escritos con las mismas técnicas maliciosas, pero en un nuevo idioma, no suelen detectarse al mismo ritmo que los programas escritos en un lenguaje más avanzado», concluyeron los investigadores de BlackBerry.
“Cargadores, cuentagotas y embalajes […] en muchos casos, simplemente cambia la primera etapa del proceso de infección en lugar de cambiar los componentes básicos de la campaña. «
