Come nasce un malware? E come arriva sui nostri dispositivi?

Come noto, i malware sono dei programmi/codici dannosi che possono compromettere la sicurezza di dispositivi come PC, smartphone e tablet. Alcuni dei più famosi sono gli spyware, che monitorano le attività dell’utente e sottraggono informazioni sensibili, e i ransomware, creati apposta per prendere “in ostaggio” i dati dell’utente e chiedere un riscatto (spesso in criptovalute). Ma come nasce un malware? Perché qualcuno sente il bisogno di crearlo? E che percorso compie prima di arrivare sui nostri dispositivi? Andiamo a scoprirlo.

Le motivazioni dei cybercriminali

Spesso i cybercriminali che creano i malware lo fanno per raggiungere un obiettivo semplice e chiaro: arricchirsi. In passato i programmatori realizzavano dei virus informatici per mettere alla prova la propria abilità nella creazione dei codici, ma ormai quest’abitudine sembra essere caduta in disuso. I moderni creatori di software malevoli sono più interessati ad accrescere il proprio patrimonio economico che a diventare più abili e nella maggior pare dei casi non fanno distinzioni tra le potenziali vittime delle loro azioni. Nonostante gli intenti tutt’altro che nobili, le loro capacità non devono essere messe in discussione. Possono contare, infatti, su una conoscenza approfondita dei sistemi, nonché delle loro vulnerabilità e delle tecniche da mettere in atto per eludere le loro difese.

Ogni giorno migliaia di coders, spesso geograficamente distanti e affiliati a un determinato gruppo criminal hacker, collaborano tra loro alla scrittura delle porzioni di codice che comporranno il malware da distribuire, spesso affidandosi a strumenti all’avanguardia e mirati.

La nascita di un malware

In un primo momento i cybercriminali si concentrano sull’ideazione e la progettazione delle funzionalità del software, senza trascurare tutti gli aspetti legati alla formazione tecnica mirata di coloro che saranno chiamati alla codifica. Ogni membro affiliato compila la propria porzione di programma e la mette in condivisione per l’integrazione nel codice finale. Per ingannare i software capaci di riconoscere i malware, i coders si affidano ad accorgimenti come tecniche di polimorfismo, algoritmi di offuscamento e tattiche di azione.

Una volta ultimato il codice, viene messa alla prova la capacità del malware di eludere il maggior numero possibile di sistemi difensivi. Se i risultati non sono soddisfacenti, si procede alle opportune correzioni. Al termine del lavoro viene assegnato al programma un nome legato a quello del gruppo criminale che l’ha sviluppato.

La diffusione del malware

A questo punto i cybercriminali studiano con attenzione i potenziali bersagli sulla base di fattori come il patrimonio economico, la vulnerabilità e l’affermazione del brand, per poi scegliere quelle più adatte ai loro scopi. Quando viene sferrato l’attacco informatico è già tardi per chi è nel mirino. I coders, infatti, agiscono solo una volta individuata una falla nelle difese e nella stragrande maggioranza dei casi riescono a passare inosservati fino a quando il danno causato non diventa evidente.

Il malware utilizzato si insinua all’interno del sistema e, muovendosi con lentezza per non essersi individuato, si sposta lateralmente fino a instaurarsi dove può causare maggiori problemi. A questo punto le routine iniziano i loro compiti, impiantando, se necessario, anche un sistema di comando e controllo che consentirà ai cybercriminali degli accessi successivi irrilevabili.

È solo in questa fase finale che i danni causati dall’attacco diventano evidenti. In base al malware utilizzato possono verificarsi problemi ai sistemi, perdita o compromissione di informazioni anche sensibili, richieste di riscatto in cambio del ripristino.

Tra i creatori di malware e gli specialisti della cybersicurezza è in corso un’incessante gara di velocità, che la maggior parte delle persone non può fare altro che seguire da distanza, nella speranza che le conseguenze degli eventuali sorpassi non siano troppo amare.

Autore: Marco Marra