El ransomware SynAck evoluciona y emplea la técnica de evasión Doppelgänging
- Endpoint
La nueva variante de SynAck utiliza la técnica Doppelgänging, que implica una inyección de código sin archivos que aprovecha una función de Windows, permitiendo a los atacantes lanzar acciones maliciosas como si fueran procesos legítimos e inofensivos.
También puedes leer... Privacidad y protección de datos en aplicaciones móviles |
Los investigadores de Kaspersky Lab han descubiero una nueva variante del troyano de ransomware SynAck utilizando la técnica Doppelgänging para eludir la seguridad antivirus ocultándose en procesos legítimos. Esta es la primera vez que se ha visto la técnica Doppelgänging utilizándose en ransomware. Los desarrolladores detrás de SynAck también implementan otros trucos para evadir la detección y el análisis: ofuscar todos los códigos de malware antes de la compilación de muestras y desaparecer si las señales sugieren que se está lanzando en un sandbox.
El ransomware SynAck apareció en otoño de 2017, y en diciembre se observó que iba principalmente dirigido a usuarios de habla inglesa con ataques de fuerza bruta contra el protocolo de escritorio remoto (RDP), seguido de la descarga e instalación manual de malware. La nueva variante descubierta por los investigadores de Kaspersky Lab implementa un enfoque mucho más sofisticado, utilizando la técnica Process Doppelgänging para evadir la detección.
Process Doppelgänging implica una inyección de código sin archivos que aprovecha una función de Windows y una implementación no documentada del cargador de procesos de Windows. Al manipular cómo Windows maneja las transacciones de archivos, los atacantes pueden lanzar acciones maliciosas como procesos legítimos e inofensivos, incluso si están usando código malicioso conocido. Doppelgänging no deja evidencia rastreable, lo que hace que este tipo de intrusión sea extremadamente difícil de detectar. Esta es la primera vez que se ha observado ransomware usando esta técnica.
Los investigadores creen que los ataques que usan esta nueva variante de SynAck son muy específicos y dirigidos. Hasta la fecha, se han observado un número limitado de ataques en Estados Unidos, Kuwait, Alemania e Irán, con demandas de rescate de 3.000 dólares.