Come nascono i malware? Forse nell’immaginario collettivo all’interno di buie stanzette dove sono all’opera nerd intenzionati a ottenere facili guadagni da truffe informatiche o compromettendo i sistemi altrui. La realtà dei fatti è un po’ diversa, come ha raccontato nei giorni scorsi anche Patrick Wardle, ex collaboratore della National Security Agency intervenuto alla RSA Conference di San Francisco (lo stesso evento che ha portato alla luce la vulnerabilità Kr00k).
Malware di stato rubati, alterati e riproposti
Ne emerge un fenomeno diverso e, a quanto pare, sempre più frequente. Mettendo mano a quattro differenti tipologie di codice maligno sviluppate da realtà ritenute vicine a diversi governi (i cosiddetti malware di stato), tutti indirizzati all’ecosistema macOS, ha dimostrato come modificare le minacce già in circolazione sia per i malintenzionati un metodo più conveniente rispetto a realizzarli ex novo, per due ragioni.
La prima e più ovvia è che consente di risparmiare tempo e risorse basando il proprio lavoro su una tecnologia già consolidata e testata. La seconda è che così facendo in caso di identificazione dell’attacco la responsabilità viene quasi certamente attribuita all’autore originale, consentendo a chi se ne è appropriato di passare inosservato.
Nel corso dello speech Repurposed Malware: A Dark Side of Recycling, visibile nella sua forma integrale in streaming qui sopra, Wardle ha mostrato come talvolta sia sufficiente modificare poche righe di codice per adattare un malware esistente alle proprie necessità.
Lo ha fatto con AppleJeus.c (attribuito alla Corea del Nord, ne abbiamo scritto anche su queste pagine di recente), nascosto in un finto software per la gestione delle criptovalute e capace di celare la propria azione in modo efficace operando esclusivamente a livello di memoria anziché scaricare file sul disco fisso. Ha poi messo mano con modalità simili a Fruitfly (impiegato per rubare milioni di immagini agli utenti), Windtail (che ha preso di mira agenzie governative e società del Medio Oriente) e KeRanger (uno dei primi ransomware a colpire i Mac).