25/11/22
Исследователи IBM Security X-Force Threat заявили, что группа вымогателей RansomExx перешла на язык программирования Rust , который дает хакерам способность быть невидимыми.
По словам реверс-инженера IBM Security X-Force Шарлотта Хаммонд, вредоносное ПО на Rust имеет более низкие показатели обнаружения антивирусными программами, что облегчает злоумышленникам обход защиты. Новый образец, использованный для отчета IBM, обнаруживается только 14 из более 60-ти антивирусов на VirusTotal. Это передает Securitylab.
Эксперты заявили, что RansomExx не просто обновляют существующую кодовую базу – они воссоздают код с нуля на совершенно новом языке с другим синтаксисом и набором библиотек.
Как пояснили в IBM, разработчики RansomExx также создали вредоносное ПО PyXie, загрузчик Vatet и штаммы программ-вымогателей Defray. Новый вариант RansomExx2 создан для Linux и Windows.
Эксперты IBM добавили, что многие группировки создали свои собственные варианты Rust, в том числе BlackCat, Hive и Zeon .
Исследователи заявили, что популярность языка программирования Rust среди хакеров в течение последнего года неуклонно росла благодаря его кроссплатформенной поддержке и низким показателям обнаружения. Процесс компиляции Rust также приводит к более сложным двоичным файлам, анализ которых может занять больше времени у реверс-инженеров.
По словам Хаммонд, более низкие показатели обнаружения антивирусных программ для двоичных файлов Rust можно объяснить тем, что язык используется гораздо реже, поэтому поставщики антивирусных программ будут иметь меньше сигнатур для него и меньше доступных образцов для обучения своих систем обнаружения.
«Если язык Rust продолжит использоваться разработчиками вредоносных программ, то поставщики антивирусов начнут наращивать свои возможности по его обнаружению, и поэтому его преимущества по сравнению с другими языками уменьшатся. Тогда хакеры переключатся на другие языки», — сказала Хаммонд.
