Da più di un anno tutti gli attori del mondo cyber security ripetono che gli antivirus sono sistemi ormai inutili. In realtà, gli unici a non essere d’accordo sono i produttori di tali sistemi AV, ma sappiamo bene che tale opinione è interessata e non intellettualmente onesta. Il motivo di tale inutilità sono fondamentalmente tre:
Gli antivirus sono in grado di rilevare oggi, con gli attuali malware evoluti, meno del 20% dei “virus” presenti… e tale percentuale continua a diminuire con l’evoluzione del cyber crime.
Quando intercettano un virus parte del danno è spesso già reale. Quindi non prevengono l’attacco come altre soluzione moderne di sicurezza informatica sugli end-point e signatureless (ad esempio Deceptive Bytes)
Microsoft Defender Antivirus / Windows Defender è la soluzione anti-malware preinstallata su oltre 1 miliardo di sistemi con Windows 10 che di fatto rende inutile per gli utenti spendere soldi negli antivirus.
Purtroppo anche Microsoft Defender Antivirus / Windows Defender è aggirabile dai moderni attacchi, proprio come in questo caso dove file MSI firmati (quindi insospettabili) e dannosi installano payload di malware Zloader sui computer grazie ad annunci di Google Adwords relativi a TeamViewer che portano a sitiweb di download clonati. La mancanza di approccio ZERO TRUST degli antivirus, che generalmente implementano l’approccio “signature” li rende sempre più inutili rispetto l’evoluzione dei malware che sanno come aggirarli, o in questo caso come disabilitarli.
La complessità degli attacchi aumenta continuamente grazie alle risorse economiche elevatissime del cyber crime. Zloader è utilizzato anche per iniettare payload di ransomware come Ryuk ed è capace di funzionalità di backdoor, di accesso remoto e come caricatore di malware per rilasciare ulteriori payload sui dispositivi infetti.
Fortunatamente la soluzione innovativa e definitiva per il rilevamento dei malware, grazie all’approccio della ricerca delle tecniche di evasione delle difese messe in campo proprio dai malware stessi, è già presente ed ampliamente utilizzata da molte aziende worldwide. Qui è possibile visione come un malware è in grado di muoversi silente ed invisibile per gli antivirus ma viene rilevato dalla tecnologia “ad inganno e signatureless” di Deceptive Bytes: youtu.be/DeceptiveBytes
Comments