Gli obiettivi cui guardano gli autori di malware sono radicalmente mutati rispetto al passato. Oggi i malware vengono creati per sottrarre informazioni di autenticazione sui vari servizi online, per acquisire identità altrui, per usare i computer “infettati”, in modo automatizzato, per l’invio di campagne spam, per rubare credenziali d’accesso a servizi di online banking ed informazioni relative a carte di credito.
Affinché un malware possa raggiungere il suo scopo, è necessario che questo possa passare del tutto inosservato all’utente. E’ questa una sostanziale differenza rispetto a quanto abbiamo assistito in passato. Diversamente rispetto a qualche anno fa, quando i malware ambivano a diffondersi sul maggior numero di sistemi possibile provocando, quindi, un’inevitabile eco sui media, oggi l’obiettivo di coloro che sviluppano componenti nocivi, è quello di mettere in atto tutte le tecniche per evitare di insospettire le varie suite per la sicurezza o gli utenti stessi.
Tra le tecniche impiegate in fase di progettazione del malware vi sono anche meccanismi automatici di controllo che effettuano test con i principali motori di scansione antivirus: ogni variante del malware si sottopone all’esame in modo tale da accertarsi di non essere riconosciuta dalla maggior parte dei motori. L’obiettivo non è quello di scampare al riconoscimento di tutti gli “engine” ma di evitare il rilevamento da parte della maggioranza di essi, anche nel caso in cui dovessero risultare attivate tutte le tecniche di rilevamento proattive (euristica, analisi comportamentale, blocco di attività specifiche in base alla specifica tipologia,…).
Il controllo automatico è paradossalmente facilitato dalla disponibilità, in Rete, di servizi come Jotti, VirusTotal, oltre a tutti i meccanismi online offerti dai vari produttori antivirus. Per lo stesso scopo vengono usati anche servizi di “sandboxing” online quali CWSandbox, Norman ed Anubis. Si chiama “sandbox” un’area protetta e sorvegliata all’interno della quale possono essere ad esempio eseguite applicazioni maligne senza che queste possano realmente interferire con il sistema operativo vero e proprio. Le tecniche di “sandboxing” sono quindi uno strumento eccellente per lo studio di ogni genere di malware.
Panda Security pubblica, nelle pagine del suo blog, un’indagine sulla stretta attività di collaborazione che è in atto tra gli sviluppatori di malware.
Panda spiega di aver individuato diversi strumenti software in grado di esaminare qualsiasi componente con molteplici motori antivirus ed antimalware. Luis Corrons, direttore tecnico dei laboratori di Panda Security osserva: “di fatto l’aumento di interesse su questo tipo di tool coincide con la possibilità di analizzare un file senza inviare il risultato della scansione alle compagnie produttrici di soluzioni di sicurezza”.
Alcuni di questi strumenti sono in grado di aggiornarsi automaticamente scaricando, dai vari produttori di soluzioni antivirus, le definizioni più aggiornate.
Lo sviluppo di questi metodi è in linea con la nuova dinamica del malware: i cyber criminali non puntano più a creare grandi epidemie e a diventare famosi, ma a passare inosservati. Per questa ragione, cercano di provare che le loro soluzioni non possono essere rilevate da nessuna compagnia prima della diffusione.
Aggiunge Corrons: “anche se il malware creato può essere scoperto da una o due aziende di sicurezza, gli hacker possono decidere di diffonderlo ugualmente, sapendo di colpire quegli utenti che usano tecnologie di protezione differenti”.