Los actores malintencionados codifican cada vez más en lenguajes de programación más “exóticos” para escribir nuevas variedades de malware sobre la base de que el uso de lenguajes nuevos, menos conocidos o poco comunes ayudará a sus ataques a evadir la detección y dificultar el análisis.
Esto es de acuerdo con un documento técnico elaborado por el Equipo de Investigación e Inteligencia de BlackBerry, que ha arrojado luz sobre el uso de lenguajes menos prolíficos en el espacio del cibercrimen.
“Los autores de malware son conocidos por su capacidad para adaptar y modificar sus habilidades y comportamientos para aprovechar las tecnologías más nuevas”, dijo el vicepresidente de investigación de amenazas de BlackBerry, Eric Milam.
“Esto tiene múltiples beneficios del ciclo de desarrollo y la falta inherente de cobertura de las soluciones de protección. Es fundamental que la industria y los clientes comprendan y controlen estas tendencias, ya que solo van a aumentar “.
Los investigadores de BlackBerry se enfocaron en cuatro lenguajes poco comunes para analizar: Go, D, Nim y Rust, todos los cuales sus herramientas de detección se han utilizado más con fines maliciosos en los últimos tiempos. Milam dijo que estos lenguajes también despertaron el interés del equipo porque se consideran más desarrollados y tienen un fuerte respaldo en la comunidad de desarrolladores legítima.
Hay varias razones por las que se adoptan nuevos lenguajes de programación en el uso general: pueden remediar un déficit en un lenguaje existente, ofrecer una sintaxis más simple, aumentar el rendimiento, usar la memoria de manera más eficiente o adaptarse mejor a un entorno de uso particular. La naturaleza fácil de usar de algunos lenguajes nuevos también puede hacer la vida mucho más fácil para los desarrolladores.
Sin embargo, para los desarrolladores malintencionados, estos lenguajes aportan otros beneficios. Por ejemplo, pueden obstaculizar significativamente los esfuerzos de ingeniería inversa, ya que muchas herramientas de análisis de malware no siempre son compatibles con idiomas poco comunes. En el caso de los analizados por BlackBerry, los binarios escritos en ellos pueden parecer “más complejos, complicados y tediosos” en comparación con sus homólogos tradicionales basados en C, C ++ o C #.
Estos lenguajes también pueden frustrar las herramientas de detección basadas en firmas existentes porque su efectividad depende de las características estáticas específicas que están presentes en un archivo, cualidades que no cambian o requieren que el archivo se ejecute para ser detectado, como los hash. Si el malware está escrito en un nuevo idioma, como BazarLoader, que recientemente se ha reescrito en Nim para convertirse en NimzaLoader, las firmas escritas para detectar iteraciones anteriores no funcionarán.
Otros malwares se han rejuvenecido de manera similar al agregar cargadores escritos en nuevos lenguajes, lo que es atractivo para los desarrolladores maliciosos, ya que significa que no tienen que recodificar todo el malware, solo el paquete.
Otros puntos positivos para los desarrolladores maliciosos incluyen la capacidad de usar lenguajes poco comunes para actuar como una capa de ofuscación que simplemente debido a su relativa juventud y oscuridad, y para compilar de forma cruzada nuevos malwares para apuntar a entornos Windows y MacOS simultáneamente.
De los cuatro lenguajes analizados en la compilación de su documento técnico, BlackBerry descubrió que Go ha madurado hasta el punto en que se está convirtiendo en un lenguaje de referencia para los actores malintencionados, tanto a nivel de amenaza persistente avanzada (APT) como de productos básicos para el desarrollo. nuevas cepas de malware.
Dijo que ahora aparecen nuevas muestras basadas en Go de forma regular, dirigidas a todos los principales sistemas operativos en múltiples campañas observadas. Junto con Nim, Go se utiliza cada vez más para compilar etapas iniciales para Cobalt Strike. D parece ser un quemador lento, a pesar de su adopción por desarrolladores legítimos, pero está experimentando un repunte en 2021.