Malware polimorfo, tutto quello che devi sapere

Gli attacchi di malware hanno cominciato ad adattarsi ai programmi antivirus migliori pur di continuare ad attaccare le loro vittime indisturbati.
Infatti, non sembra arrestarsi l’evoluzione dei malware e dei virus informatici sul web e da lì, verso i nostri computer e dispositivi.

Che cosa rende alcuni virus informatici silenti e completamente “invisibili” anche agli occhi dei migliori software anti-malware?
Scopriamolo insieme.

Introducendo il concetto i virus polimorfo o malware polimorfo possiamo dire che si tratta di malicious software che generano copie differenti ad ogni infezione attraverso motori polimorfi. In buona sostanza, questi malware possono modificare il proprio codice mentre si propagano attraverso un sistema.
I motori polimorfi (in inglese definiti polymorphic engine) non sono malware veri e propri, ma piuttosto processi uniti al codice di un virus, in modo tale da richiamare la routine di cifratura contenuta nel motore stesso.

In altre parole, un malware polimorfo è formato da due parti: un codice cifrato ed un codice in chiaro.

Ecco perché il codice cifrato contiene il motore polimorfo ed il malware code in forma cifrata, mentre il codice in chiaro contiene la funzione di decifratura.

Sommario degli argomenti

1. Che cos’è un virus polimorfo?
2. Gestire una minaccia in evoluzione
3. Differenze fra virus e malware polimorfo
4. Come scoprire se il nostro computer è affetto da un virus polimorfo?
5. Le soluzioni contro i virus polimorfi
6. Come prevenire un virus polimorfo nel nostro dispositivo?

I malware polimorfi sono particolari virus che generano copie differenti di sè ad ogni infezione, attraverso una particolare tecnologia definita motore polimorfo.
Naturalmente, un virus polimorfo nasconde la sua “impronta”, ovvero la sequenza di byte (o codice malware) che lo identifica in maniera univoca. Ebbene, i malware polimorfi sono in grado di celare il loro “DNA” crittografando il proprio codice.

In buona sostanza, i malware polimorfi implicano la modifica frequente delle loro caratteristiche come nome e tipi di file o chiavi di crittografia per rendere impossibile il loro rilevamento

Non solo, la peculiarità di un’infezione polimorfa consiste nell’impiego di un motore che  sua volta cifra o modifica in maniera casuale la procedura di decrittazione dopo ogni infezione. Durante l’infezione di ogni file viene copiato è anche il motore, il quale crea in maniera casuale una nuova routine per cifrare il virus, diversa dalle precedenti (e con spesso istruzioni fatte per sviare gli antivirus) allo scopo di mettere fuori pista i programmi antivirus.

Come avviene l’infezione di un malware polimorfo?

• Il malware decifra il codice mediante la funzione di decifratura;
• Viene eseguito il risultato della decifratura;
• Cerca un nuovo file da infettare;
• Se lo trova, chiama il motore polimorfo il quale genera una nuova coppia di funzioni cifratura/decifratura;
• Cifra il motore polimorfo ed in seguito il codice del virus;
• Salva il risultato di tale cifratura;
• Aggiunge la funzione di decifratura nella nuova istanza del virus polimorfo.

Spesso, contrastare l’azione di un malware polimorfo è quasi impossibile poiché le stesse soluzioni cybersecurity non sono in grado di riconoscere lo stato del malware, soprattutto dopo che si è replicato.

In generale, un virus identificato dal software di sicurezza è inserito nelle black list; tutto ciò che sembra o si comporta come tale, viene automaticamente bloccato.

Il codice polimorfico si evolve in continuazione, rendendo complicata la sua scoperta.
Anche dopo essere stato respinto, la sua nuova “incarnazione” potrebbe passare sotto l’uscio dei servizi di difesa che non lo riconoscono affatto.

Quando si parla di virus polimorfici, spesso lo si confonde con il concetto di malware polimorfo.
È necessario conoscere la differenza tra infezioni da virus e malware nell’informatica.

In breve, un virus informatico è un tipo di malware.
Altri tipi di malware, che possono utilizzare i motori di mutazione per aggirare la tecnologia antivirus, includono:

• worm;
• trojan;
• keylogger;
• ransomware.

Per esempio, il malware polimorfo Emotet è un trojan bancario che ruba informazioni sensibili, ingannando gli strumenti di sicurezza informatica. Possiamo nominare anche il ransomware Win32/VirLock, che oltre a bloccare gli schermi dei computer e crittografare i dati, altera la struttura di ogni file. Virlock è uno dei primi ceppi di ransomware a utilizzare il polimorfismo.

Qualsiasi software dannoso che utilizza un motore di mutazione è difficile da rilevare, perché cambia il suo stato dopo l’infezione.
Il tipico software di sicurezza utilizza tecniche basate sulla crittografia. Quando il malware polimorfo la cambia, il software antivirus che utilizza il rilevamento della crittografia non è all’altezza.

I virus polimorfici vengono generalmente diffusi utilizzando tecniche di attacco informatico standard, tra cui:

• Spam;
• Email di phishing;
• Siti web infetti;
• Altri malware.

Alcuni dei virus polimorfici più noti includono:

• Ursnif (noto anche come Gozi), un Trojan bancario;
• Vobfus, un virus worm di Windows;
• Bagle, un worm di posta elettronica.

Combinati con altre forme di malware, tali virus polimorfici possono essere devastanti. Per esempio:

Storm Worm

utilizzando l’ingegneria sociale, una mail di spam in Europa nel 2007 ha causato circa l’8% di tutte le infezioni da malware nel mondo quell’anno. Questo virus polimorfico cambiava aspetto ogni 30 minuti e utilizzava un allegato e-mail per trasformare il sistema in un bot.

Virlock

evoluto nel 2015 per includere routine di ransomware. Non solo potrebbe bloccare il computer di destinazione, ma anche infettare altri file, replicarne e modificarne il formato.

CryptoWall

una forma di ransomware polimorfo, che crittografa i file sul computer della vittima. L’idea, ovviamente, è quella di chiedere un riscatto per decifrare le informazioni. Per eludere le consuete misure di protezione, il motore polimorfo alla base di CryptoWall crea una nuova variante del malware per ogni target.

Beebone

i server e i computer controllati in remoto per attaccare altri sistemi, noti come botnet, sono stati ulteriormente abilitati utilizzando malware polimorfi. Beebone ha infettato circa 12.000 computer nel 2015. Utilizzando un downloader polimorfo per fornire una varietà di malware, Beebone si è rivelato difficile da rilevare e tracciare. È stato necessario il coordinamento di diverse forze dell’ordine internazionali, tra cui l’FBI e l’Europol, per eliminare la botnet.

Se i virus polimorfi possono cambiare forma continuamente, come si può sapere se un computer è affetto dal virus?
Fortunatamente, gli amministratori possono cercare alcuni segnali rivelatori, tra cui:

• Rallentamenti insoliti e improvvisi del sistema: sono spesso un’indicazione che il virus polimorfo sta attaccando un computer, maggiormente richiedendo cicli aggiuntivi mentre crittografa i file sul sistema.

• Richieste dispari: una richiesta insolita, come inserire una password all’improvviso, indica che il virus sta tentando di infettare il sistema o la rete. Sono presenti strane richieste di inserire informazioni sensibili come numeri di dipendenti, date di nascita o numeri di previdenza sociale.

• Indirizzamento errato: se un browser Web porta improvvisamente un utente a un URL o a un sito Web non inserito, può essere un segno che il virus sta tentando di indirizzarlo a un sito infetto.

• Annunci pop-up insoliti che bloccano i siti Internet.

Provvidenzialmente, i software antivirus hanno adottato numerose tecniche per contrastare le varianti di virus polimorfiche:

• Scansione euristica: invece di cercare una corrispondenza esatta con una minaccia già identificata, una scansione euristica cerca alcuni componenti cruciali che la minaccia potrebbe condividere, aumentando le possibilità di rilevare e fermare una nuova variante del virus.
• Rilevamento basato sul comportamento: questo tipo di funzione antivirus analizza il comportamento di un virus anziché limitarsi a esaminarne il codice effettivo

Un software antivirus avanzato che utilizza l’analisi euristica è in grado di rilevare minacce emergenti, come il malware polimorfico.
Il termine è stato inventato dai ricercatori per descrivere un programma anti-malware che esamina questi dettagli:

• La struttura di una potenziale minaccia;
• La logica di programmazione;
• Dati alla ricerca di codice spazzatura;
• Istruzioni insolite e comportamenti delle minacce.

Possiamo citare l’esempio del famoso software antivirus Karpesky Lab, le cui nuove tecnologie anti-phishing hanno utilizzato tecniche di scansione euristica.

Quasi 155 milioni di tentativi da parte di utenti che hanno visitato pagine di phishing sono stati rivelati.
Quindi, ribadiamo che non bisogna mai sottovalutare le minacce tramite pagine Internet ed e-mail sospette.

La vigilanza è la chiave per prevenire la diffusione dei virus polimorfici.
L’infezione di un intero sistema spesso è la diretta conseguenza dell’azione umana come il download di un allegato email infetto o la navigazione su un sito Web che è stato compromesso. Il buon senso è spesso la prima e migliore linea di difesa.

I virus polimorfi rappresentano un temibile avversario.
Tuttavia, le aziende possono proteggersi seguendo una serie comprovata di pratiche di sicurezza informatica:

• Mantenere il software antivirus sempre aggiornato: pur cambiando aspetto, gli obiettivi del malware polimorfo rimangono gli stessi.
  La maggior parte delle software house mantiene aggiornamenti di sicurezza per proteggere tali obiettivi, quindi è essenziale tenere il passo con eventuali patch sui computer client e server.
• Non aprire collegamenti o allegati sospetti: l’email continua a essere il punto di ingresso preferito dei cybercriminali.
  Oltre a implementare strumenti di sicurezza e-mail, formare i dipendenti a non soccombere agli attacchi di phishing e a non aprire collegamenti sospetti, anche da indirizzi e-mail noti.
• Aggiornare le password: gli elenchi di password note e altre informazioni vengono regolarmente acquistate e vendute sul dark web, quindi bisogna chiedere ai dipendenti di modificare regolarmente le proprie password. Tutto questo fa parte della formazione regolare della sicurezza informatica.
• Eseguire regolarmente il backup dei dati, risparmiando perdite monetarie a un’azienda e contrastare gli attacchi ransomware.
• Utilizzare il rilevamento euristico e del comportamento, che impedisce determinate azioni simili a virus, come la crittografia di file importanti. Questo risulta capace di avvisare gli utenti di minacce polimorfiche non segnalate in precedenza, per esempio sulla base di richieste di accesso insolite.