Llega el ransomware más inteligente hasta la fecha

  • Seguridad

Investigadores de Kaspersky han detectado una nueva y mejorada versión del ransomware SynAck que utiliza una técnica llamada Process Doppelgänging para evitar su detección.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

Investigadores de seguridad han detectado el primer ransomware en explotar el Process Doppelgänging, una técnica de inyección de código sin archivo que podría ayudar al malware a evitar su detección.

La técnica fue presentada en diciembre de 2017 durante la conferencia BlackHat. Desde entonces ya se ha detectado el uso de la sofisticada técnica que intenta superar las soluciones de seguridad moderna, según puede leerse en un post publicado en Securelist, un blog de Kaspersky Lab.

Explican sus autores, Anton Ivanov, Fedor Sinitsyn y Orkhan Mamedov, que fue en abril de este año cuando vieron a la nueva variante de  SynAck utilizando la técnica de Process Doppelgänging. El objetivo principal de la técnica es utilizar las transacciones NTFS, una función incorporada de Windows, para iniciar un proceso malicioso desde el archivo transaccionado para que el proceso malicioso se vea como uno legítimo. NTFS es una implementación obsoleta del cargador de procesos de Windows, y funciona en todas las versiones modernas del sistema operativo Windows de Microsoft, incluido Windows 10.

Explican los investigadores de la firma de seguridad que los desarrolladores del malware suelen utilizar empaquetadores PE personalizados para proteger el código original del ejecutable troyano, pero que en el caso de SynAck el ejecutable está ofuscado completamente antes de la compilación, lo que significa que “la tarea de la ingeniería inversa es considerablemente más complicada con SynAck que con otras cepas recientes de ransomware”.

Algo interesante sobre SynAck, un ransomware identificado en septiembre de 2017, es que no infecta a personas de países específicos, como Rusia, Bielorrusia, Ucrania, Georgia, Tayikistán, Kazajistán y Uzbekistán. Para identificar el país de un usuario específico, SynAck ransomware compara los diseños de teclado instalados en la PC del usuario con una lista codificada almacenada en el malware. Si se encuentra una coincidencia, el ransomware duerme durante 30 segundos y luego llama a ExitProcess para evitar el cifrado de los archivos.

TAGS