2020/03/02

Roubo e reciclagem de malware é mais eficiente que criá-lo de raiz


Um investigador de segurança veio dar visibilidade à questão do roubo e reciclagem de malware avançado, que se torna uma táctica bastante mais eficiente e recheada de vantagens face à perspectiva de criar um malware de raiz.

Poucas pessoas terão a capacidade de criar, actualmente, um malware capaz de ultrapassar os múltiplos sistemas de segurança implementados nos sistemas operativos e programas mais populares. Alguns dos casos mais populares dos últimos anos são atribuídos a grupos de hackers ligados a entidades estatais de diferentes países; ou então malware resultante da divulgação indesejada de vulnerabilidades a que estes grupos têm acesso. Mas... para quê criar algo se é mais simples roubá-lo?

É precisamente isso que Patrick Wardle tem demonstrado em conferências de segurança, mostrando como é bastante mais simples recorrer a um malware já existente e simplesmente modificá-lo para ficar sob o controlo do novo dono.


Estes malwares recorrem por norma a um servidor remoto que serve como centro de controlo, que lhes dá as instruções e envia programas adicionais para cumprirem as funções pretendidas; pelo que as alterações acabam por ser relativamente simples: alterando o endereço para que comunique com um centro de controlo diferente.

Este cenário não é novo, sendo que no passado já se assistiram a vários casos de guerras entre grupos rivais para obterem controlo sobre botnets e este tipo de malware. Abre também um cenário em que o lançamento de um malware avançado terá que ser cuidadosamente analisada pelo grupo que o criou, já que estará consciente de que serão extremamente elevadas as probabilidades do mesmo ser rapidamente apanhado e reciclado por outros grupos, potencialmente "virando o feitiço contra o feiticeiro". É aquilo que se poderá designar por pirataria de malware! :)

Ainda por cima há vantagens adicionais em roubar malware de outros; já que futuras análises às origens do ataque irão direccionar os investigadores para os criadores originais do malware (estilo de programação utilizado, referências linguísticas, etc.) em vez de quem se limitou a alterar-lhe umas dezenas de bytes.

Sem comentários:

Enviar um comentário (problemas a comentar?)