El ataque Process Doppelgänging, una amenaza imparable

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Investigadores de seguridad han descubierto el primer ransomware que explota Process Doppelgänging, una nueva técnica de inyección de código sin archivos que podría ayudar a evitar la detección de malware.

El ataque Process Doppelgänging aprovecha una función incorporada de Windows, es decir, transacciones NTFS, y una implementación obsoleta del cargador de procesos de Windows, y funciona en todas las versiones modernas del sistema operativo Windows de Microsoft, incluido Windows 10.

El ataque Doppelgänging de procesos funciona mediante el uso de transacciones NTFS para iniciar un proceso malicioso al reemplazar la memoria de un proceso legítimo, engañando a las herramientas de supervisión de procesos y al antivirus para que crean que el proceso legítimo se está ejecutando.

Poco después de que los detalles del ataque Process Doppelgänging se hicieran públicos, se descubrió que varios actores de amenazas abusaron de él en un intento de eludir las soluciones de seguridad modernas.

Los investigadores de seguridad de Kaspersky Lab ahora han encontrado el primer ransomware, una nueva variante de SynAck, que emplea esta técnica para evadir sus acciones maliciosas y apuntar a usuarios en los Estados Unidos, Kuwait, Alemania e Irán.

synack-ransomware-process-doppelganging

Inicialmente descubierto en septiembre de 2017, SynAck ransomware utiliza técnicas de ofuscación complejas para evitar la ingeniería inversa, pero los investigadores lograron descomprimirlo y compartieron su análisis en una publicación de blog.

Algo interesante sobre SynAck es que este ransomware no infecta a personas de países específicos, como Rusia, Bielorrusia, Ucrania, Georgia, Tayikistán, Kazajistán y Uzbekistán. Para identificar el país de un usuario específico, SynAck ransomware compara los diseños de teclado instalados en la PC del usuario con una lista codificada almacenada en el malware. Si se encuentra una coincidencia, el ransomware duerme durante 30 segundos y luego llama a ExitProcess para evitar el cifrado de los archivos.

 

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris