Apelidado de YARAify, a ferramenta defensiva foi projetada para verificar arquivos suspeitos em um grande repositório de regras YARA.
“YARA é uma ferramenta de código aberto para correspondência de padrões”, disse o fundador do Abuse.ch, Roman Hüssy, em entrevista ao The Daily Swig. “Ele permite que qualquer pessoa […] escreva suas próprias regras para detectar [problemas], como arquivos maliciosos ou suspeitos.”
O YARAify pode escanear arquivos usando regras YARA públicas e integrar regras YARA públicas e não públicas da Malpedia, que é operada pelo Fraunhofer Institute na Alemanha.
Além disso, os pesquisadores podem usar a ferramenta para digitalizar arquivos usando assinaturas abertas e comerciais do ClamAV, configurar regras de busca para corresponder tanto às regras YARA quanto às assinaturas ClamAV e vincular o YARAify a outras ferramentas por meio de interfaces de programação de aplicativos (APIs).
De acordo com Hüssy, o YARAify foi criado para facilitar o manuseio das regras do YARA, que ele descreveu como poderosas, mas difíceis de manusear.
Antes do lançamento do YARAify, os caçadores de malware precisavam encontrar regras YARA em plataformas e repositórios git, sem uma maneira direta de compartilhá-las e sem convenção de nomenclatura consistente (levando a duplicatas).
“Decidimos lançar a plataforma YARAify ao público para permitir que qualquer pessoa compartilhe suas regras YARA com a comunidade de maneira estruturada e as use para caçar arquivos suspeitos e maliciosos vistos no universo Abuse.ch”, concluiu Hüssy.
Para contextualizar, as regras da YARA foram usadas por várias organizações e indivíduos no passado e ajudaram vários pesquisadores de segurança a identificar ameaças perigosas.
Por exemplo, em fevereiro de 2021, a FireEye usou as regras da YARA durante os eventos relacionados à violação de dados. A ferramenta também foi usada meses depois pela Microsoft para encontrar evidências do infame botnet Emotet.
Pesquisadores da Huntress identificaram uma campanha massiva de phishing que usa infraestrutura da Railway e…
A Mazda informou que um acesso externo não autorizado a um sistema ligado à gestão…
A CVE-2026-32746, com CVSS 9.8, afeta o telnetd do GNU InetUtils até a versão 2.7…
A campanha GlassWorm voltou com escala muito maior e já atingiu 433 componentes em GitHub,…
Como o golpe funcionava- O atacante publicou um projeto “parecido com legítimo” no GitHub, usando…
Falha crítica no better-auth permite criar API keys sem autenticação para usuários arbitrários, com risco…