Bitdefender ha pubblicato una ricerca che svela una nuova strategia di attacco denominata “vibeware”, in cui un modello di produzione di malware assistito dall’intelligenza artificiale viene utilizzato per riscrivere lo stesso malware in diversi linguaggi di programmazione poco diffusi, inondando gli obiettivi di varianti per sopraffare le difese.
Questa ricerca offre uno sguardo diretto sulla nuova realtà del vibeware, una nuova categoria di malware utilizzata dal gruppo pakistano APT36 principalmente contro il governo indiano e le missioni diplomatiche. Non si tratta semplicemente di un aumento della complessità tecnica, ma di una vera e propria transizione verso l’industrializzazione del malware grazie all’intelligenza artificiale, che permette di generare e diffondere rapidamente codici binari monouso e poliglotti negli ambienti presi di mira.
Il gruppo utilizza linguaggi di nicchia come Nim, Zig, Crystal e Rust, nascondendo il traffico di comando e controllo all’interno di piattaforme affidabili come Slack, Discord, Google Sheets e Supabase per rendere più difficile individuare e interrompere la sua attività.
Nonostante i frequenti errori di programmazione, il vibeware aumenta la capacità di eludere i sistemi di rilevamento tradizionali e rende più complessa la risposta da parte dei team della sicurezza.
L’analisi dei materiali recuperati indica un interesse mirato degli hacker verso le seguenti categorie di dati:
– Documentazione relativa a personale dell’esercito
– Affari esteri e diplomazia
– Documenti strategici e normativi
– Difesa e sicurezza nazionale
Come difendersi
– Priorità al rilevamento dei comportamenti: dare priorità ai rilevamenti basati sul comportamento dei processi piuttosto che sul runtime dei file. Monitorare l’esecuzione di binari non firmati in directory scrivibili dall’utente (come %APPDATA%). Le piattaforme EDR dovrebbero segnalare chiamate API insolite o tecniche di process hollowing: queste attività, infatti, rimangono costanti in tutta la flotta di malware, indipendentemente dal linguaggio di programmazione utilizzato.
– Verifica e controllo dei servizi cloud affidabili (LOTS): monitorare in modo approfondito piattaforme come Discord, Slack e Google Sheets usate per comunicazioni di comando e controllo. Connessioni persistenti a questi servizi da binari non verificati devono essere considerate segnali di violazione.
– Ambienti di rete ostili: rendere la rete dinamica e imprevedibile per ostacolare gli attacchi, combinando piattaforme EDR/XDR efficaci come Bitdefender GravityZone a operazioni consolidate di SOC/MDR. Queste misure aumentano la complessità operativa per l’hacker, rendendogli più difficile operare in modo nascosto durante le fasi di ricognizione e spostamento laterale.
La ricerca è disponibile qui.
