Perché la maggior parte dei malware odierni non utilizza la crittografia avanzata?

Sembra sorprendente perché le librerie crittografiche sono disponibili su tutte le piattaforme (principali). Ma suona spesso più semplice di quello che è. Ad esempio, l'accesso all'API Crypto su Windows richiede un sacco di codice aggiuntivo per farlo correttamente.

Ma la quantità di autori di malware che hanno familiarità con la crittografia è piuttosto piccola. Pertanto tendono a concentrarsi su funzionalità come la propagazione, le tecniche di occultamento o la raccolta dei dati. Crypto è spesso solo "bello da avere".

Inoltre l'aggiunta di solidi meccanismi crittografici aumenterebbe la complessità e la rilevabilità di un malware. Sono preferite soluzioni semplici e piccole. L'aggiunta di crittografia è un'enorme fonte di errori che limitano il successo delle attività malware.

Non sono un autore di malware, ma presumo sia perché è quasi impossibile e non offre alcun vantaggio.

Come può il malware "validarsi" in qualsiasi modo significativo? Il malware è completamente esposto a un ricercatore, che può sapere tutto ciò che il malware conosce. Non può contenere un codice segreto che un ricercatore non può anche imparare. Qualsiasi ricercatore può spoofare qualsiasi cosa il malware voglia inviare al server C & C.

Le eccezioni sono obiettivi specifici, come il malware Gauss utilizzato.

Forse gli autori di malware sono pigri, o l'utilizzo di crittografia avanzata richiederebbe troppo spazio. Quando si crea una dimensione "stub" del bot è importante. Al fine di rimanere meno malware sospetto è il più piccolo possibile, quindi può essere "vincolato" con altri software. Una connessione client-server occupa già molto spazio del malware, l'aggiunta di una crittografia strong renderebbe il file molto più grande.