Experts de Kaspersky descobreixen un nou llenguatge de programació orientat a la creació de malware

Compartir

Desconegut fins a la data, ha estat emprat en l’elaboració del cuc Duqu.

Experts de Kaspersky Lab han descobert una cosa insòlita: els creadors de malware han ideat el seu propi llenguatge de programació per materialitzar les seves creacions.

Fins ara, s’empraven llenguatges estàndard tant d’alt com de baix nivell per a crear virus, cucs i altres trampes, i se sabia de l’existència de “toolkits” (basats al seu torn en llenguatges estàndards) que permeten a persones amb pocs coneixements tècnics la creació de trampes de programari per a muntar botnets o realitzar ciberestafes, entre altres objectius il·lícits. Però el que han anunciat els investigadors de la reconeguda companyia russa no té punt de comparació.

Durant l’anàlisi exhaustiva del codi del cuc Duqu, es va descobrir que el mòdul de comunicacions que permet el control remot del programa havia estat construït emprant un nou i desconegut llenguatge de programació altament especialitzat en les tasques del malware, que ràpidament els experts de Kaspersky Lab van batejar com a “Duqu Framework”.

A diferència de la resta d’aquest virus, Duqu Framework no està escrit en C++ i no està compilat amb Microsoft Visual C++ 2008. És possible que els seus autors utilitzin un in-house framework per a generar un codi C intermedi, o que emprin un altre llenguatge de programació completament diferent. Malgrat tot, els investigadors de Kaspersky Lab han confirmat que el llenguatge està orientat a objectes i realitza el seu propi conjunt d’activitats relacionades i adequades per a aplicacions de xarxa.

Concretament en Duqu, la construcció amb aquest nou llenguatge permet que la DLL de comunicacions operi de manera diferent de la resta de mòduls connectant-se al centre de control (des d’on es dicta què ha de fer el virus) per unes quantes vies: protocol HTTP, servidors proxy o d’altres, i duent a terme accions com la transmissió de la informació robada de l’ordinador infectat de manera molt sigil·losa, sense que pugui ser detectada.

Pel que fa al cuc Duqu, la seva finalitat era actuar com a backdoor en el sistema per tal de facilitar el robatori d’informació privada i es va detectar per primera vegada al setembre del 2011, malgrat que segons dades de Kaspersky Lab, el seu primer rastre relacionat amb el malware es remunta a l’agost del 2007. Els experts de la companyia han captat més d’una dotzena d’incidents que involucren a Duqu, i la gran majoria de les víctimes estan localitzades a l’Iran. Una anàlisi de les seves activitats mostra que el principal objectiu dels atacs era robar informació sobre els sistemes de control emprats en diverses indústries, així com aconseguir informació sobre les relacions comercials d’una àmplia gamma d’organitzacions iranianes.

El descobriment d’aquest nou llenguatge de programació demostra l’alta qualificació dels desenvolupadors implicats, així com els importants recursos financers i laborals mobilitzats per garantir l’execució del projecte. Kaspersky fa una crida a la comunitat de programadors per si algú reconeix el nou framework, eines o llenguatge de programació que pugui generar construccions de codi semblants, per tractar de tenir més pistes que portin a la identificació dels autors.

 

Copyleft 2012 www.imatica.org
Aquesta obra es troba subjecta a la següent llicència:
La difusió, reproducció i traducció d’aquest text es permet lliurement en qualsevol mitjà o suport amb les úniques obligacions de mantenir la present llicència i incloure un enllaç o referència a la pàgina en què es troba l’original dins del servidor www.imatica.org . En mitjans audiovisuals es requereix la cita al mitjà www.imatica.org

Guillem Alsina
Etiquetes: