Gli autori di malware diventano sono sempre più ingegnosi nel trovare tecniche per ingannare i ricercatori di malware. L'ultimo colpo di scena, secondo i ricercatori FireEye Milpitas, si basa su ceppi di malware che tentano di evitare il rilevamento sfruttando processi di Windows che sembrano completamente slegati dalle minacce informatiche. Chiamato BaneChant, il trojan si ritiene sia stato utilizzato in attacchi mirati di spearphishing in Medio Oriente.
Il successo della maggior parte dei malware in circolazione si basa sulla loro capacità di restar nascosti fino al momento buono e poi fare quanto più danno possibile nel breve tempo che passa tra la loro attivazione e l'arrivo delle contromisure da parte delle case di software.
"In passato, i metodi di attivazione con prevedevano un solo semplice click del mouse, rendendo il malware abbastanza facile da localizzare" ha scritto il ricercatore Chong Rong Hwa, di FireEye, nella sua analisi, ma le cose stanno cambiando. "Una volta che il malware infetta un sistema va in modalità di sospensione, attendendo una connessione a Internet che gli permetta di scaricare il codice dannoso vero e proprio. Quando è pronto, tenta di contattare un command and control server, ingannando gli antivirus e la maggior parte dei sistemi di prevenzione delle intrusioni mediante Ow.ly, un servizio di abbreviazione URL legittimo, che serve agli hacker per reindirizzare il pc infettto al server sotto il loro controllo ed evitare, nel contempo, i blocchi causati dalle blacklist dei software di sicurezza".
BaneChant attende per tre o più click del mouse di sinistra prima di procedere a scaricare il secondo stadio e più importante ovvero il suo contenuto maligno. Secondo l'analisi condotta dai ricercatori, tale contenuto si nasconde in un file che si esegue automaticamente e si maschera come un legittimo file di Google Update. La backdoor dà un pieno accesso al PC della vittima e, come altri malware, include la capacità di disinstallarsi e cancellare la sua esistenza dal sistema infetto. "Nel complesso, questo malware è stato creato per inviare informazioni relative al computer e creare una backdoor per l'accesso remoto", ha scritto Hwa. "Questa backdoor fornisce all'hacker la flessibilità su come perpetrare le attività dannose anche in seguito." Si può andare dal semplice utilizzo del PC come parte di una botnet a un vero e proprio attacco di cyber espionage.
La tecnica di nascondersi dietro ai click del mouse di una vittima non è nuova, essendo stata rilevata in un trojan già lo scorso anno, ma BaneChant è il primo che attende addirittura tre click e mira sicuramente a stabilire se questo tipo di "camuffamento" può esser utile nell'allungare il tempo necessario per i fornitori di sicurezza per creare firme di rilevamento del malware. Symantec ha rilevato un trojan con funzionalità simili nel mese di ottobre.