Gli esperti di Trend Micro hanno scoperto l’uso di file batch fortemente offuscati che utilizzano BatCloak, un malware FUD (Fully UnDetectable) la cui peculiarità è quella di conferire al codice malevolo caratteristiche evolute di evasione ai principali antivirus: il malware è completamente non rilevabile grazie al motore di offuscamento.
“Fully undetectable (FUD) malware obfuscation engine come BatCloak”, spiega Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “sono componenti essenziali nel ciclo di sviluppo di un malware” dotati di queste caratteristiche: saper eludere i principali antivirus.
I campioni assicurano ai “threat actor la capacità di caricare numerose famiglie di malware ed exploit con facilità, mediante file batch molto offuscati” spiegano i ricercatori di Trend Micro.
“Negli ultimi anni nell’underground criminale, packer e malware obfuscation engine, come quello in esame, sono divenuti servizi essenziali per il successo di campagne malware”, sottolinea Paganini. “In un’ottica di implementazione di un modello di cybercrime-as-a-service queste componenti sono diventate disponibili alla collettività criminale pagando cifre trascurabili se comparate ai possibili proventi di un’efficace e massiva campagna malware”, aggiunge l’esperto di cyber security.
Gli esperti hanno rilevato che il 79,6% del totale dei 784 reperti rinvenuti non viene rilevata da tutte le soluzioni di sicurezza a causa della capacità di BatCloak di aggirare i tradizionali meccanismi di detection.
Secondo Paganini, poiché “continueremo ad osservare un fiorente mercato incentrato sullo sviluppo e la vendita di queste componenti software, bisogna correre ai ripari. La domanda in crescita fungerà inevitabilmente da volano allo sviluppo di nuovi motori per l’offuscamento dei codici malevoli e il potenziamento delle capacità di evasione di quelli esistenti”, conclude Paganini.
Gli esperti spiegano che per mitigare il rischio, bisogna effettuare l’aggiornamento costante della definizione dei rilevamenti sul programma di protezione che si usa, adottando, di volta in volta, i nuovi indicatori di compromissione che i ricercatori rilasciano pubblicamente.
