Złośliwi aktorzy są coraz częściej kodowanie w bardziej „egzotycznych” językach programowania, aby pisać nowe odmiany złośliwego oprogramowania w oparciu o to, że używanie nowych, mniej znanych lub w inny sposób nietypowych języków pomoże ich atakom uniknąć wykrycia i utrudni analizę.
Jest to zgodne z opracowanym dokumentem przez Zespół Badań i Analiz BlackBerry, który rzucił światło na używanie mniej płodnych języków w cyberprzestępczości.
„Twórcy złośliwego oprogramowania są znani ze zdolności do dostosowywania i modyfikowania swoich umiejętności i zachowań w celu wykorzystania nowszych technologii”, powiedział wiceprezes BlackBerry ds. badań nad zagrożeniami, Eric Milam.
„Przynosi to wiele korzyści wynikających z cyklu rozwoju i nieodłącznego braku ochrony ze strony rozwiązań ochronnych. Bardzo ważne jest, aby branża i klienci zrozumieli i śledzili te trendy, ponieważ będą one tylko rosnąć”.
Badacze BlackBerry wybrali do analizy cztery rzadko spotykane języki: Udać się, D, Nim oraz Rdza, z których wszystkie jego narzędzia do wykrywania są ostatnio częściej wykorzystywane do złośliwych zamiarów. Milam powiedział, że te języki również wzbudziły zainteresowanie zespołu, ponieważ są uważane za bardziej rozwinięte i mają silne poparcie w legalnej społeczności programistów.
Istnieje kilka powodów, dla których nowe języki programowania są powszechnie stosowane – mogą one niwelować braki w istniejącym języku, oferować prostszą składnię, zwiększać wydajność, efektywniej wykorzystywać pamięć lub lepiej pasować do konkretnego środowiska użytkowania. Przyjazny dla użytkownika charakter niektórych nowych języków może również znacznie ułatwić życie programistom.
Jednak dla złośliwych programistów takie języki przynoszą inne korzyści. Mogą na przykład znacznie utrudnić wysiłki w zakresie inżynierii wstecznej, ponieważ wiele narzędzi do analizy złośliwego oprogramowania nie zawsze odpowiednio obsługuje rzadkie języki. W przypadku analizowanych przez BlackBerry binaria napisane w nich mogą wydawać się „bardziej złożone, zawiłe i nużące” w porównaniu do tradycyjnych odpowiedników opartych na C, C++ czy C#.
Języki te mogą również udaremniać istniejące narzędzia do wykrywania oparte na sygnaturach, ponieważ ich skuteczność zależy od określonych cech statycznych występujących w pliku — cech, które nie zmieniają się ani nie wymagają wykrycia pliku, takich jak skróty. Jeśli złośliwe oprogramowanie jest napisane w nowym języku — takim jak BazarLoader, który został niedawno przepisany w Nim na NimzaLoader — sygnatury napisane w celu wykrywania poprzednich iteracji nie będą działać.
Inne złośliwe programy zostały podobnie odmłodzone przez dodanie programów ładujących napisanych w nowych językach, co jest atrakcyjne dla złośliwych programistów, ponieważ oznacza, że nie muszą przekodowywać całego złośliwego oprogramowania, a jedynie opakowanie.
Inne plusy dla złośliwych programistów obejmują możliwość używania nietypowych języków do działania jako warstwa zaciemniania, która jest po prostu ze względu na ich względną młodość i niejasność, oraz do krzyżowej kompilacji nowych złośliwych programów w celu jednoczesnego atakowania środowisk Windows i MacOS.
Spośród czterech języków analizowanych w kompilacji białej księgi BlackBerry odkryło, że Go dojrzało do tego stopnia, że staje się językiem docelowym dla złośliwych podmiotów, zarówno na poziomie zaawansowanego trwałego zagrożenia (APT), jak i na poziomie towarowym do rozwoju nowe odmiany złośliwego oprogramowania.
Powiedział, że nowe próbki oparte na Go pojawiają się teraz regularnie, skierowane do wszystkich głównych systemów operacyjnych w wielu obserwowanych kampaniach. Wraz z Nimem, Go jest coraz częściej używany do kompilowania początkowych etapów do Cobalt Strike. D wydaje się być powolnym spalaczem, pomimo jego przyjęcia przez legalnych programistów, ale w 2021 r. odnotowuje wzrost.