El ransomware SynAck utiliza la técnica Doppelgänging para evadir su detección
Investigadores de seguridad de Kaspersky han detectado el primer ransomware en explotar el Process Doppelgänging: una técnica de inyección de código sin archivo que podría ayudar al malware a evitar su detección.
Esta técnica fue presentada el pasado diciembre de 2017 durante la conferencia BlackHat. Desde entonces, se ha detectado el uso de esta técnica sofisticada que intenta superar las soluciones de seguridad moderna, según desprende un post publicado en Securelist, un blog de Kaspersky Lab.
Sus autores Anton Ivanov, Fedor Sinitsyn y Orkhan Mamedov, explican que fue en abril de este año cuando vieron a la nueva variante de SynAck utilizando la técnica de Process Doppelgänging. El objetivo principal de la técnica es utilizar las transacciones NTFS, una función incorporada de Windows, para iniciar un proceso malicioso desde el archivo transaccionado para que el proceso malicioso se vea como uno legítimo. NTFS es una implementación obsoleta del cargador de procesos de Windows, y funciona en todas las versiones modernas del sistema operativo Windows de Microsoft, incluido Windows 10.
Explican los investigadores de la firma de seguridad que los desarrolladores del malware suelen utilizar empaquetadores PE personalizados para proteger el código original del ejecutable troyano, pero que en el caso de SynAck el ejecutable está ofuscado completamente antes de la compilación, lo que significa que “la tarea de la ingeniería inversa es considerablemente más complicada con SynAck que con otras cepas recientes de ransomware”.
Algo interesante sobre SynAck, un ransomware identificado en septiembre de 2017, es que no infecta a países específicos, como Rusia, Bielorrusia, Ucrania, Georgia, Tayikistán, Kazajistán y Uzbekistán. Para identificar el país de un usuario específico, SynAck ransomware compara los diseños de teclado instalados en la PC del usuario con una lista codificada almacenada en el malware. Si se encuentra una coincidencia, el ransomware duerme durante 30 segundos y luego llama a ExitProcess para evitar el cifrado de los archivos.
En Alternativas en Computación le ayudaremos a tomar conciencia y a conocer qué problemas de seguridad son más importantes para su organización. Contamos con un servicio de administración de seguridad y monitoreo que le permitirá poner en marcha su estrategia en breve y orientar sus recursos en labores operativas propias del negocio.
¡Si desea agendar una cita, por favor déjenos sus datos!
Fuente: IT User
