Usati da spammer senza scrupoli per campagne commerciali, oggi i creatori di malware non mirano più a innescare epidemie cibernetiche che li rendano famosi, ma elaborano nuove tecniche per passare inosservati ed evitare di insospettire gli utenti.
È in questo scenario che ha avuto inizio il fenomeno malware, i virus che sottraggono informazioni di autenticazione sui vari servizi online, acquisiscono identità altrui, usano computer “infettati” in modo automatizzato per rubare credenziali d’accesso a servizi di online banking ed informazioni relative a carte di credito. Un vero incubo per le aziende, a caccia di sistemi di sicurezza a prova di bombe informatiche.
Il tutto senza eco sui media, ma nell’ombra assoluta su tecniche e meccanismi di nuova invenzione. Tra le novità in fase di progettazione in ambito malware, ci sono anche i meccanismi automatici di controllo che effettuano test con i principali motori di scansione antivirus: ogni variante del malware si sottopone all’esame in modo tale da accertarsi di non essere riconosciuta dalla maggior parte dei motori.
L’obiettivo non è quello di scampare al riconoscimento di tutti gli “engine” ma di almeno di evitare il rilevamento da parte della maggioranza di essi, anche nel caso in cui dovessero risultare attivate tutte le tecniche di rilevamento proattive (euristica, analisi comportamentale, blocco di attività specifiche in base alla specifica tipologia,…).
Un’indagine sulla fervente attività di sviluppatori di malvwre è consultabile sul blog di Panda Security.
Panda spiega di aver individuato diversi strumenti software in grado di esaminare qualsiasi componente con molteplici motori antivirus ed antimalware. Alcuni di questi strumenti sono in grado di aggiornarsi automaticamente scaricando, dai vari produttori di soluzioni antivirus, le definizioni più aggiornate.
A facilitare il controllo automatico contribuisce, paradossalmente, la disponibilità in Rete di servizi come Jotti, VirusTotal, oltre a tutti i meccanismi online offerti dai vari produttori antivirus. Per lo stesso scopo vengono usati anche servizi di “sandboxing” (produzione di applicazioni maligne in un’area protetta che non interferisce con il sistema operativo) online quali CWSandbox, Norman ed Anubis.