Los actores de amenazas están cambiando cada vez más a lenguajes de programación «exóticos» como Go, Rust, Nim y Dlang que pueden eludir mejor las protecciones de seguridad convencionales, evadir el análisis y obstaculizar los esfuerzos de ingeniería inversa.

«Los autores de malware son conocidos por su capacidad para adaptar y modificar sus habilidades y comportamientos para aprovechar las tecnologías más nuevas», dijo Eric Milam, vicepresidente de investigación de amenazas de BlackBerry. «Esa táctica tiene múltiples beneficios del ciclo de desarrollo y la falta inherente de cobertura de los productos protectores».

Por un lado, los lenguajes como Rust son más seguros, ya que ofrecen garantías como la programación segura para la memoria , pero también pueden ser un arma de doble filo cuando los ingenieros de malware abusan de las mismas funciones diseñadas para ofrecer mayores garantías en su beneficio, creando así malware menos susceptibles a la explotación y frustrar los intentos de activar un interruptor de interrupción y dejarlos impotentes.

Al señalar que los binarios escritos en estos lenguajes pueden parecer más complejos, enrevesados ​​y tediosos cuando se desmontan, los investigadores dijeron que el pivote agrega capas adicionales de ofuscación, simplemente en virtud de que son relativamente nuevos, lo que lleva a un escenario en el que el malware más antiguo se desarrolló utilizando lenguajes tradicionales. como C ++ y C # se están actualizando activamente con droppers y loaders escritos en alternativas poco comunes para evadir la detección por parte de los sistemas de seguridad de endpoints.

A principios de este año, la empresa de seguridad empresarial Proofpoint descubrió un nuevo malware escrito en Nim ( NimzaLoader ) y Rust ( RustyBuer ) que, según dijo, se estaba utilizando en campañas activas para distribuir e implementar Cobalt Strike y cepas de ransomware a través de campañas de ingeniería social. De manera similar, CrowdStrike observó el mes pasado una muestra de ransomware que tomó prestadas implementaciones de las variantes anteriores de HelloKitty y FiveHands, mientras usaba un empaquetador Golang para cifrar su carga útil principal basada en C ++.

Los últimos hallazgos de BlackBerry muestran que estos artefactos son parte de un aumento en los actores de amenazas que adoptan Dlang, Go, Nim y Rust para reescribir familias existentes o crear herramientas para nuevos conjuntos de malware durante la última década.

  • Dlang : DShell, Vovalex, OutCrypt, RemcosRAT
  • Ir – ElectroRAT, EKANS (también conocido como Snake), Zebrocy, WellMess, ChaChi
  • Nim : cargadores Cobalt Strike basados ​​en NimzaLoader, Zebrocy, DeroHE, Nim
  • Rust – Convuster Adware, RustyBuer, TeleBots Downloader y Backdoor, NanoCore Dropper, PyOxidizer

«Los programas escritos con las mismas técnicas maliciosas pero en un nuevo idioma no suelen detectarse al mismo ritmo que los escritos en un lenguaje más maduro», concluyeron los investigadores de BlackBerry.

«Los cargadores, goteros y envoltorios […] en muchos casos simplemente alteran la primera etapa del proceso de infección en lugar de cambiar los componentes centrales de la campaña. Este es el último en actores de amenazas que mueven la línea justo fuera del rango del software de seguridad de una manera que podría no activarse en etapas posteriores de la campaña original «.

Fuente y redacción: thehackernews.com

Compartir