SAIU O RESULTADO DO SORTEIO DO PRÊMIO CANALTECH!CONFERIR
Publicidade

Linguagens de programação exóticas são usadas para criar ameaças "indetectáveis"

Por| Editado por Claudio Yuge | 07 de Fevereiro de 2022 às 14h20

Link copiado!

Mika Baumeister;Unsplash
Mika Baumeister;Unsplash

Dados de uma pesquisa da Equipe de Inteligência da divisão de segurança da BlackBerry indicam que desenvolvedores de ameaças estão utilizando linguagens de programação exóticas, ou seja, menos comuns, para criar seus agentes maliciosos.

Uma das formas que os pesquisadores encontraram do uso de linguagens exóticas nas ameaças é em casos onde criminosos pegam o malware e os implantam dentro de loaders ou outros tipos de programa codificados de forma não-convencional. Com isso, soluções antivírus acabam não detectando nenhum problema nesses arquivos, o que permite que eles possam ser executados muitas vezes.

Outra forma, mais trabalhosa, envolve a completa reconstrução da ameaça na linguagem pouco usada. E, por fim, em alguns casos, grupos criminosos utilizam os dois processos juntos, para diminuir ainda mais a chance de detecção de seus vírus.

Continua após a publicidade

Em especial, os pesquisadores da BlackBerry identificaram vírus escritos em 3 linguagens específicas, fora do comum da maioria das ameaças detectadas. Citamos elas a seguir:

  • DLang: Popularmente como D, essa linguagem tem sintaxe parecida com o C, e conta com funções que permitem a fácil conversão softwares para o seu ambiente de desenvolvimento. Mesmo existindo desde 2007, existem poucos malwares desenvolvidos nesse código, o que esta o tornando atraente para muitos criminosos;
  • Nim: lançada em 2008, essa linguagem tem três objetivos em mente: eficiência, expressividade e elegância na sintaxe. Com isso, ela vem se tornando popular entre criminosos pela facilidade de programação e reescrita de ameaças já existentes anteriormente;
  • Rust: linguagem relativamente recente, o Rust é usado anda ganhando bastante popularidade entre desenvolvedores e criminosos, por conta de sua facilidade de uso e também por seu mundo e pela capacidade de portar, ou seja, refazer programas de outras línguas para a sua interface;
  • Go: A maioria dos antivírus encaram programas desenvolvidos em Go como softwares simples e sem grandes impactos para usuários, o que está fazendo com que criminosos se aprofundem na sintaxe e na criação de vírus nesse código para assim conseguirem furar o bloqueio de soluções de segurança.

Segundo a pesquisa da BlackBerry, os seguintes vírus já foram encontrados utilizando as linguagens citadas acima:

  • Zebrocy;
  • WellMass;
  • ElectroRat;
  • RobbinHood;
  • Cobalt Striker;
  • Nimzaloader;
  • DeroHe;
  • Dlang;
  • Vovalex;
  • RemcosRat;
  • OutScrypt;
  • DShell;
  • NanoCore Dropper;
  • RustyBuer;
  • Convuster Adware;
  • PyOxidizer.
Continua após a publicidade

Como se proteger de ameaças programadas de forma exótica

Como até pouco tempo vírus desenvolvidos nas linguagens citados acima eram raros, o setor de segurança conta com pouco conhecimento sobre os detalhes dos códigos e das ameaças, não sabendo como sua implementação em sistemas ocorre.

Além disso, segundo a pesquisa, a utilização de linguagens de programação menos comuns na construção de malwares dificulta o trabalho de soluções de detecção de ameaças baseadas em assinaturas específicas — que normalmente utilizam padrões de codificação em comum para identificar as ameaças.

Continua após a publicidade

Uma possível solução encontrada pelos pesquisadores, porém, é a maior implantação de soluções que utilizem detecções de ameaça a partir de comportamentos. Nesse tipo de segurança, o software responsável estuda as atividades dos usuários conectados em uma rede para identificar padrões e impedir ou bloquear coisa que saia dessa “normalidade”.

É importante lembrar que independente da forma que o vírus é programado, a sua ação no sistema após a infecção sempre será semelhante a de outras ameaças da mesma classe — um ransomware feito em C terá o mesmo objetivo final de um desenvolvido em outra língua, por exemplo: a criptografia e sequestro de dados do sistema afetado.

Com isso, uma solução que detecte malware por meio do comportamento da ameaça é uma forma de quebrar o aumento de casos causados por linguagens exóticas. Esse tipo de proteção já está disponível no serviço de algumas empresas, como a Kaspersky, e pode ser um primeiro passo para um aumento perceptível da segurança de sistemas de empresas, conforme esse novo cenário de vírus programados de forma exótica vai se formando.


Continua após a publicidade

Fonte: BlackBerry