Аналитики BlackBerry Research & Intelligence выяснили, что преступники все чаще обращаются к необычным и «экзотическим» языкам программирования во время работы над малварью, таким образом стремясь затруднить анализ своих вредоносов, их реверс инжиниринг, а также затруднить работу защитных инструментов, полагающихся на сигнатуры.
По данным компании, речь идет о таких языках, как Go (Golang), D (DLang), Nim и Rust, которые используются преступниками, чтобы избежать обнаружения сообществом ИБ-специалистов, а также для решения конкретных проблем в процессе разработки. В частности, создатели малвари активно экспериментируют с загрузчиками и дропперами, написанными на этих языках, которые подходят для развертывания малвари на первом и последующих этапах атаки. Таким образом, защитные механизмы могут обнаружить вторжение слишком поздно.
«Программы, написанные с использованием известных вредоносных методов, но на новом языке, обычно не обнаруживаются с такой же скоростью, как программы, написанные на более зрелом языке. Загрузчики, дропперы и обертки чаще просто изменяют первую стадию процесса заражения, но не влияют на основные компоненты вредоносной кампании», — объясняют эксперты.
В отчете BlackBerry Research & Intelligence перечислены следующие случаи переделывания существующей малвари или создания новых инструментов на менее известных языках:
- Dlang: DShell, Vovalex, OutCrypt, RemcosRAT;
- Go: ElectroRAT, EKANS (также известный как Snake), Zebrocy, WellMess, ChaChi;
- Nim: загрузчики Cobalt Strike на базе Nim, NimzaLoader, Zebrocy, DeroHE;
- Rust: рекламная малварь Convuster, RustyBuer, загрузчик и бэкдор TeleBots, дроппер NanoCore, PyOxidizer.
Основываясь на текущих тенденциях, исследователи говорят, что особый интерес для преступников представляет язык Go. С ним работают как «правительственные хакеры», так и разработчики массовой малвари. К примеру, в июне текущего года аналитики CrowdStrike сообщали о новом варианте вымогателя, который заимствовал ряд функций у HelloKitty/DeathRansom и FiveHands, но использовал упаковщик Go для шифрования основной полезной нагрузки.
«Наши предположения основаны на том факте, что новые образцы [малвари], написанной на Go, теперь появляются на почти регулярной основе. Это относится к вредоносным программам всех типов, которые нацелены на все основные операционные системы в рамках множества вредоносных кампаний», — заключают специалисты.
