L'ultimo rapporto dei laboratori di sicurezza M86 Security mostra nuove tendenze nelle tipologie di attacco; tra queste emerge un tipo di azione combinata tra ActionScript di Adobe e JavaScript, nell'intento di opporsi ai nuovi meccanismi proattivi di rilevamento.
La pratica dell'offuscamento del codice non è nuova, e gli hacker l'hanno usata per diversi anni allo scopo di eludere le difese dei tradizionali prodotti di sicurezza. D'altra parte questi ultimi si sono evoluti, introducendo, per esempio, un'analisi del codice in real time, vanificando così i vecchi attacchi.

Gli hacker non sono certo rimasti a guardare e hanno messo a punto nuove tecniche, basandosi sulle relazioni dei due scripting language di cui sopra. Adobe Flash ha un'enorme diffusione e rimane una delle scelte favorite degli sviluppatori web: si presta bene quindi come veicolo di malware. ActionScript, il suo linguaggio di programmazione, ha una proprietà forse poco nota e cioè una comoda interfaccia con JavaScript nella parent page.

Gli attaccanti, sfruttando la funzionalità di ExternalInterface, possono stabilire una comunicazione bidirezionale tra Flash e JavaScript. Ecco un esempio, tratto dal rapporto cui si accennava all'inizio:

Per mettere in chiaro e analizzare il codice, bisogna averlo tutto a disposizione, e questo costituisce il vantaggio del malfattore, che può spezzare il suo attacco in due parti, una delle quali non accessibile.

Il rapporto di cui sopra cita anche un'altra tendenza in atto: un metodo di elusione, meno sofisticato di quello appena visto, ma pur sempre efficace, e cioè quello del filtraggio di indirizzi IP appartenenti a sistemi di rilevamento del malware. Un semplice esempio è il seguente: