Cybercriminelen kiezen steeds vaker voor ‘exotische’ programmeertalen zoals Go, Rust, Nim en Dlang. Met deze minder populaire programmeertalen zijn ze beter in staat om conventionele beveiligingssystemen te omzeilen, analyses te ontwijken en pogingen tot reverse engineering tegen te gaan.
“Malware-ontwikkelaars staan bekend om hun mogelijkheid om hun vaardigheden en gedrag aan te passen, zodat ze nieuwe technologieën benutten”, zegt BlackBerry VP van bedreigingsonderzoek Eric Milam. Deze strategie levert aanvallers verschillende voordelen op. Niet alleen is het ontwikkelproces vaak sneller, maar hackers hebben hierdoor ook minder last van beschermingssystemen.
Aan de ene kant zijn programmeertalen als Rust veiliger dan andere, doordat ze garanties bieden als geheugenveiligheid. Aan de andere kant gebruiken ook malware-ontwikkelaars dit soort functies in hun voordeel. Hierdoor wordt het moeilijker om de malware te detecteren of uit te schakelen.
Oude malware verpakt in een nieuw jasje
Code geschreven in een ‘exotische’ taal, ziet er complex uit wanneer onderzoekers ze proberen te ontcijferen. Volgens onderzoekers voegen malware-ontwikkelaars meerdere lagen aan de code toe. Vaak wordt oudere malware geschreven in C++ en C# opnieuw verpakt in een minder voorkomende taal. Hierdoor voorkomen hackers dat de malware wordt gedetecteerd door beveiligingssystemen.
Eerder dit jaar ontdekte beveiligingsbedrijf Proofpoint nieuwe malware geschreven in Nim (NimzaLoader) en Rust (RustyBuer) die actief werd gebruikt om Cobalt Strike en andere ransomware te verspreiden via social engineering-campagnes. CrowdStrike zag vorige maand iets vergelijkbaars: ransomware die implementaties van oudere HelloKitty en FiveHands-varianten gebruikten, maar de op C++ gebaseerde payload versleutelde met een Golang packer.
“Programma’s geschreven met dezelfde kwaadaardige technieken, maar in een nieuwe taal worden vaak niet zo snel gedetecteerd als programma’s die geschreven zijn in meer volwassen programmeertalen”, concluderen de onderzoekers van BlackBerry. Dankzij deze nieuwe strategie weten aanvallers dus net buiten het bereik van de beveiligingsprogramma’s te blijven.