Il team di ricercatori di Wolf Security ha pubblicato un post sul blog dove vengono descritte alcune tecniche raffinate di diffusione malware. A quanto pare, se utilizzate da mani esperte, queste possono aggirare buona parte degli antivirus così come delle funzioni di sicurezza di Windows.
Questi trucchi del mestiere, di fatto, sono il frutto di un mix tra diverse soluzioni adottate in contemporanea. Nello specifico, viene fatto l’esempio di AsyncRAT, un trojan che utilizza diversi metodi singolari per risultare efficace.
Si parla dell’utilizzo di estensioni dei file nascoste, così come della prassi di aumentare artificialmente le dimensioni del file dannoso. Non tutti sanno, infatti, che un file di 2 GB può essere troppo voluminoso per risultare analizzabile correttamente dalla maggior parte di antivirus.
Tra tutte queste tecniche, però, quella dei malware “multi-linguaggio” è forse la più curiosa.
File “gonfiati” artificialmente, estensioni nascoste e malware multi-linguaggio: i trucchi dei cybercriminali
Di fatto, si parla di un agente malevolo realizzato utilizzando più linguaggi di programmazione. Nel caso preso in esame da Wolf Security, l’autore del malware ha eluso il rilevamento crittografando il payload utilizzando un crypter scritto in Go, prima di disabilitare le funzionalità di scansione anti-malware che normalmente lo rilevano. L’attacco è quindi avvenuto attraverso un altro linguaggio, ovvero C++.
Attraverso questo, l’attaccante interagisce con il sistema operativo della vittima ed esegue il malware .NET, lasciando tracce minime sul PC. Secondo Patrick Schläpfer, Malware Analyst presso il team di ricerca Wolf Security, ha affermato come “Gli attori delle minacce esperti di IT possono utilizzare strumenti semplici che possono essere facilmente acquistati sul Dark Web per eseguire attacchi complessi e più sofisticati“.
Lo stesso ha poi aggiunto come “È probabile che questo particolare attacco sia stato eseguito da un individuo o da un piccolo gruppo, poiché viene utilizzato lo stesso server con un indirizzo IP per distribuire l’e-mail di spam e impostare un comando e controllo, mentre gruppi di minacce più grandi come QakBot generano enormi attacchi di spam , utilizzando credenziali compromesse e riconnettendosi tramite più server proxy alla loro infrastruttura C2“.