Les acteurs malveillants se tournent vers des langages de programmation obscurs

Les acteurs malveillants codent de plus en plus dans des langages de programmation plus « exotiques » pour écrire de nouvelles souches de logiciels malveillants au motif que l’utilisation de nouveaux langages moins connus ou autrement rares aidera leurs attaques à échapper à la détection et à entraver l’analyse.

C’est selon un livre blanc produit par l’équipe de recherche et de renseignement de BlackBerry, qui a mis en lumière l’utilisation de langages moins prolifiques dans l’espace cybercriminel.

« Les auteurs de logiciels malveillants sont connus pour leur capacité à adapter et à modifier leurs compétences et leurs comportements pour tirer parti des nouvelles technologies », a déclaré Eric Milam, vice-président de la recherche sur les menaces chez BlackBerry.

« Cela présente de multiples avantages du cycle de développement et du manque inhérent de couverture des solutions de protection. Il est essentiel que l’industrie et les clients comprennent et gardent un œil sur ces tendances, car elles ne vont qu’augmenter.

Les chercheurs de BlackBerry ont ciblé quatre langages rares à analyser: Go, D, Nim et Rust, que ses outils de détection ont tous vus être utilisés plus pour une intention malveillante ces derniers temps. Milam a déclaré que ces langages ont également piqué l’intérêt de l’équipe car ils sont considérés comme plus développés et ont un fort soutien dans la communauté des développeurs légitimes.

Il existe plusieurs raisons pour lesquelles les nouveaux langages de programmation sont adoptés dans l’usage général – ils peuvent corriger un déficit dans un langage existant, offrir une syntaxe plus simple, améliorer les performances, utiliser la mémoire plus efficacement ou mieux convenir à un environnement d’utilisation particulier. La nature conviviale de certains nouveaux langages peut également faciliter la vie des développeurs.

Pour les développeurs malveillants, cependant, ces langages apportent d’autres avantages. Par exemple, ils peuvent entraver considérablement les efforts de rétro-ingénierie, car de nombreux outils d’analyse des logiciels malveillants ne prennent pas toujours en charge de manière adéquate les langages rares. Dans le cas de ceux analysés par BlackBerry, les binaires qui y sont écrits peuvent sembler « plus complexes, alambiqués et fastidieux » par rapport aux homologues traditionnels basés sur C, C++ ou C#.

Ces langages peuvent également contrecarrer les outils de détection basés sur les signatures existants, car leur efficacité dépend de la présence de caractéristiques statiques spécifiques dans un fichier , des qualités qui ne changent pas ou nécessitent que le fichier s’exécute pour être détectées, telles que les hachages. Si un logiciel malveillant est écrit dans une nouvelle langue , telle que BazarLoader, qui a récemment été réécrite dans Nim pour devenir NimzaLoader , les signatures écrites pour détecter les itérations précédentes ne fonctionneront pas.

D’autres malwares ont été rajeunis de la même manière en ajoutant des chargeurs écrits dans de nouvelles langues, ce qui est attrayant pour les développeurs malveillants car cela signifie qu’ils n’ont pas à recoder l’ensemble du logiciel malveillant, juste l’emballage.

D’autres points positifs pour les développeurs malveillants incluent la possibilité d’utiliser des langages inhabituels pour agir comme une couche d’obscurcissement qui simplement en raison de leur jeunesse relative et de leur obscurité, et de compiler de nouveaux logiciels malveillants pour cibler simultanément les environnements Windows et MacOS.

Sur les quatre langues analysées dans la compilation de son livre blanc, BlackBerry a constaté que Go a maintenant mûri au point où il devient un langage de référence pour les acteurs malveillants, à la fois au niveau de la menace persistante avancée (APT) et au niveau des produits pour développer de nouvelles souches de logiciels malveillants.

Il a déclaré que de nouveaux échantillons basés sur Go apparaissent désormais régulièrement, ciblant tous les principaux systèmes d’exploitation dans plusieurs campagnes observées. Avec Nim, Go est de plus en plus utilisé pour compiler les premiers stagers pour Cobalt Strike. D semble être un brûleur lent, malgré son adoption par des développeurs légitimes, mais il voit une hausse en 2021.