Uno studio effettuato dai laboratori di Panda Software ha rivelato che il 78% del nuovo malware si serve di alcuni tipi di packing file per nascondersi. Un “packer” è un programma utilizzato per ridurre la dimensione ed unire file eseguibili, generalmente attraverso la loro compressione. Può essere sfruttato anche per proteggere copie del codice maligno installate sui computer o per renderne più difficile la scoperta da parte delle soluzioni antivirus una volta che sono state ripartite. Esistono differenti packer: L’indagine della multinazionale ha mostrato che UPX (Ultimate Packer for eXecutables) è il più diffuso ed è stato impiegato nel 15% del malware individuato, seguito da PECompact e PE, rilevati nel 10% dei casi. Tuttavia ci sono più di 500 tipi di questi programmi che possono essere sfruttati dai cyber criminali.
“In sostanza, si tratta di una tecnica di occultamento. L’incremento nell’uso di questi programmi evidenzia l’interesse dei pirati informatici a rendere le loro creazioni meno rilevabili” ha spiegato Luis Corrons, Direttore Tecnico dei Laboratori di Panda Software.
Spesso questi tool permettono agli hacker di combinare diversi file pericolosi in un pacchetto singolo. In questo modo se ne ostacola l’individuazione e si permette ad un codice maligno di scaricare copie di altra natura più efficacemente.
“Il problema si ha quando si individua questo malware. Molti sono compressi con programmi legali e non è possibile distinguere tra file pericolosi e quelli normali. Qual è la soluzione? Nel caso delle e-mail deve esistere un sistema per rilevarli prima che raggiungano i PC: le soluzioni di sicurezza devono essere in grado di scoprirli prima che vengano eseguiti”, aggiunge Corrons.
Negli ultimi mesi, alcuni dei più importanti codici maligni hanno utilizzato packer, come i Trojan Conycspa.AJ, che scaricava altro malware, e Clagge.G e il worm Rinbot.Q, che si diffondeva sfruttando numerose vulnerabilità di Windows.
Tra le altre tecniche di occultamento, Panda pone l’accento su un importante e pressoché sconosciuto pericolo che si presenta in forma di “binder” o “joiner”. Si tratta di programmi creati per unire due o più file. Gli aggressori usano questi tool per nascondere i codici maligni all’interno di file apparentemente inoffensivi. Per esempio, l’esecuzione di un Trojan può essere combinata con la proiezione di una foto con estensione .jpg, così che, quando un utente visualizza l’immagine, fa funzionare anche il codice maligno.
Questa “tattica” – osserviamo noi – sembra ispirarsi alla “steganografia”: qui, infatti, messaggi segreti vengono celati all’interno di altri file, ad esempio fotografie o video. Nel caso dei “binder”-“joiner”, il codice nocivo viene poi eseguito all’apertura del file che è foriero del contenuto maligno.
I Laboratori di Panda Software hanno già rilevato diversi esemplari che impiegano questa tecnica, come alcuni dei Trojan della famiglia Mitglieder, che mostrano una fotografia mentre vengono eseguiti.
Un altro sistema per proteggere i file che contengono malware – si osserva dai laboratori Panda – è lo “scrambling”: una serie di file, simili a quelli compressi, tra i quali se ne possono nascondere di eseguibili. Questa tecnica richiede però che i codici maligni siano criptati, cosicché, per poter funzionare, hanno un decodificatore interno. I worm della famiglia Feebs, ad esempio, impiegano questo metodo per nascondersi. “La caratteristica più pericolosa di questa tecnica è la personalizzazione. I cyber criminali più bravi possono creare un proprio codice di crittografia rendendo il loro malware molto difficile da rilevare”, spiega Corrons.