Cosa è antiscan.me? Si tratta di un servizio online che consente di fare 5 scansioni di un virus da voi generato, mettendolo sotto ai riflettori di ben 26 antivirus, prima di chiedere un pagamento. Il servizio promette di impegnarsi a non distribuire i risultati delle scansioni effettuate, tuttavia questa mattina, durante i miei esperimenti, mi sono fatto l'autopwn. Antiscan.me non è altro che un honeypot, allestito per attirare malware developer e convincerli con l'iganno a fornire un sample dei loro artefatti. Come l'ho scoperto?
Come tutte le altre mattine, prima di fare le altre cose ho verificato il mantenimento delle capacità d'evasione delle mie backdoor, sviluppate perlopiù in Go o in Python (a seconda di come mi gira). La conoscenza di questi due linguaggi di programmazione versatili e d'alto livello mi conferisce l'abilità di generare artefatti quasi irrilevabili, anche se per me è solo un'attività amatoriale. Durante il primo test sul mio PC locale, il signor Defender afferma che va tutto bene, il file non risulta infetto (definizioni dei virus aggiornate alla data dell'8 febbraio 2022 + Cloud attiva). Dopo aver scansionato lo stesso file su antiscan.me, però, il signor Defender afferma questa volta la dicitura "Backdoor-Win32/Golang", e io "wtf man?", fatto ciò, torno a testare lo stesso file sul mio computer locale (, e con mia sorpresa, dopo la scansione su antiscan.me il file risulta flaggato anche localmente, con la stessa nomenclatura riportata da antiscan.me. SCAM CONFIRMED. Antiscan? It's going to be ANTISCAM!
Possibili pensieri di chi potrebbe questionare questa condotta
"Ma il codice etico ti impone di distribuire il tuo file alle case produttrici di AV"
No, il codice etico non ha a che vedere con il rovinare il lavoro compiuto nel generare un virus in grado di scavalcare ogni layer di sicurezza di un AV. Il codice etico di un hacker, impone maturità e un minimo di rispetto per sé stessi, e per gli altri utenti. Che senso ha stare ore a scontrarsi con un terminale che restituisce continuamente errori per poi vedere tutto vanificato da una scansione? A me, l'idea, non entusiasma proprio.
"Se loro vogliono distribuire i risultati è per proteggere gli utenti!"
Mi dispiace deluderti, ma nessuna casa produttrice di AV ha realmente a cuore la sicurezza e la privacy dei propri utenti. Gli hacker white hat che lavorano per queste software house, purtroppo, non hanno il cappello così bianco. Documentatevi. Nello scorso decennio, Avast è stata segnalata per raccogliere dati sugli utenti di nascosto, per poi rivenderli ad agenzie pubblicitarie. Reperivano i loro dati di navigazione con il pretesto di installare un plugin per il browser, che a loro detta, serviva per monitorare la sicurezza dell'utente. Probabilmente uno dei migliori attacchi di social engineering che abbia mai conosciuto, li ammiro e li odio allo stesso tempo. Volete sapere quali sono le uniche cose che contano per le case produttrici di AV? La prima cosa è l'esistenza dei black hat, perché senza di loro non avrebbero più nessuno da "proteggere". Quali boomer proteggerebbero, se i criminali informatici smettessero d'esistere? La seconda cosa che vogliono, sono i vostri soldi. Del resto, non gli interessa davvero nulla. L'importante è che paghiate la sottoscrizione annuale per loro, come le brave pecore.
Detto questo, l'unico metodo attualmente viabile per testare i virus è creare un LAB con vari computer o di macchine virtuali su VirtualBox, installare su ciascuno di essi un antivirus diverso, e disabilitare le caselle di autocondivisione dei sample, incluse quelle di condivedere i vostri dati personali con le aziende dell'AV usato durante i test.
Avrei dovuto ascoltare quello che mi disse qualche settimana fa un mod di questo forum in privato, invece che relegarmi a quel sito di merd*. Non fate il mio stesso errore.
Come tutte le altre mattine, prima di fare le altre cose ho verificato il mantenimento delle capacità d'evasione delle mie backdoor, sviluppate perlopiù in Go o in Python (a seconda di come mi gira). La conoscenza di questi due linguaggi di programmazione versatili e d'alto livello mi conferisce l'abilità di generare artefatti quasi irrilevabili, anche se per me è solo un'attività amatoriale. Durante il primo test sul mio PC locale, il signor Defender afferma che va tutto bene, il file non risulta infetto (definizioni dei virus aggiornate alla data dell'8 febbraio 2022 + Cloud attiva). Dopo aver scansionato lo stesso file su antiscan.me, però, il signor Defender afferma questa volta la dicitura "Backdoor-Win32/Golang", e io "wtf man?", fatto ciò, torno a testare lo stesso file sul mio computer locale (, e con mia sorpresa, dopo la scansione su antiscan.me il file risulta flaggato anche localmente, con la stessa nomenclatura riportata da antiscan.me. SCAM CONFIRMED. Antiscan? It's going to be ANTISCAM!
Possibili pensieri di chi potrebbe questionare questa condotta
"Ma il codice etico ti impone di distribuire il tuo file alle case produttrici di AV"
No, il codice etico non ha a che vedere con il rovinare il lavoro compiuto nel generare un virus in grado di scavalcare ogni layer di sicurezza di un AV. Il codice etico di un hacker, impone maturità e un minimo di rispetto per sé stessi, e per gli altri utenti. Che senso ha stare ore a scontrarsi con un terminale che restituisce continuamente errori per poi vedere tutto vanificato da una scansione? A me, l'idea, non entusiasma proprio.
"Se loro vogliono distribuire i risultati è per proteggere gli utenti!"
Mi dispiace deluderti, ma nessuna casa produttrice di AV ha realmente a cuore la sicurezza e la privacy dei propri utenti. Gli hacker white hat che lavorano per queste software house, purtroppo, non hanno il cappello così bianco. Documentatevi. Nello scorso decennio, Avast è stata segnalata per raccogliere dati sugli utenti di nascosto, per poi rivenderli ad agenzie pubblicitarie. Reperivano i loro dati di navigazione con il pretesto di installare un plugin per il browser, che a loro detta, serviva per monitorare la sicurezza dell'utente. Probabilmente uno dei migliori attacchi di social engineering che abbia mai conosciuto, li ammiro e li odio allo stesso tempo. Volete sapere quali sono le uniche cose che contano per le case produttrici di AV? La prima cosa è l'esistenza dei black hat, perché senza di loro non avrebbero più nessuno da "proteggere". Quali boomer proteggerebbero, se i criminali informatici smettessero d'esistere? La seconda cosa che vogliono, sono i vostri soldi. Del resto, non gli interessa davvero nulla. L'importante è che paghiate la sottoscrizione annuale per loro, come le brave pecore.
Detto questo, l'unico metodo attualmente viabile per testare i virus è creare un LAB con vari computer o di macchine virtuali su VirtualBox, installare su ciascuno di essi un antivirus diverso, e disabilitare le caselle di autocondivisione dei sample, incluse quelle di condivedere i vostri dati personali con le aziende dell'AV usato durante i test.
Avrei dovuto ascoltare quello che mi disse qualche settimana fa un mod di questo forum in privato, invece che relegarmi a quel sito di merd*. Non fate il mio stesso errore.