Pesquisadores de segurança descobriram o primeiro processo de exploração de ransomware, o Process Doppelgänging , uma nova técnica de injeção de código sem arquivos que pode ajudar o malware a evitar a detecção.
O  Process Doppelgänging aproveita uma função interna do Windows, ou seja, Transações NTFS e uma implementação desatualizada do carregador de processos do Windows, e funciona em todas as versões modernas do sistema operacional Microsoft Windows, incluindo o Windows 10.
O ataque Doppelgänging funciona usando NTFS transações para iniciar um processo mal-intencionado substituindo a memória de um processo legítimo, enganando as ferramentas de monitoramento de processos e os antivírus para que eles acreditem que o processo legítimo está sendo executado.

Logo após os detalhes do ataque Doppelgänging serem divulgados, vários agentes de ameaças foram encontrados abusando dele na tentativa de burlar as soluções modernas de segurança.

Pesquisadores de segurança da Kaspersky Lab encontraram agora o primeiro ransomware, uma nova variante do SynAck, empregando essa técnica para fugir de suas ações maliciosas e visando usuários nos Estados Unidos, no Kuwait, na Alemanha e no Irã.

Inicialmente descoberto em setembro de 2017, o SynAck ransomware utiliza técnicas complexas de ofuscação para impedir a engenharia reversa, mas os pesquisadores conseguiram desempacotá-lo e compartilhar sua análise em um post no blog. Uma coisa interessante sobre o SynAck é que esse ransomware não infecta pessoas de países específicos, incluindo Rússia, Bielorrússia, Ucrânia, Geórgia, Tadjiquistão, Cazaquistão e Uzbequistão.

Para identificar o país de um usuário específico, o ransomware SynAck combina os layouts de teclado instalados no computador do usuário com uma lista codificada armazenada no malware. Se uma correspondência for encontrada, o ransomware ficará inativo por 30 segundos e, em seguida, chamará ExitProcess para impedir a criptografia de arquivos. O SynAck ransomware também impede a análise automática do sandbox, verificando o diretório de onde ele é executado. Se encontrar uma tentativa de iniciar o executável malicioso a partir de um diretório ‘incorreto’, o SynAck não prosseguirá e, em vez disso, terminará.

Uma vez infectado, assim como qualquer outro ransomware, o SynAck criptografa o conteúdo de cada arquivo infectado com o algoritmo AES-256-ECB e fornece às vítimas uma chave de descriptografia até que elas contatem os invasores e cumpram suas demandas.

O SynAck também é capaz de exibir uma nota de ransomware na tela de login do Windows, modificando as chaves LegalNoticeCaption e LegalNoticeText no registro. O ransomware até limpa os logs de eventos armazenados pelo sistema para evitar a análise forense de uma máquina infectada. Embora os pesquisadores não tenham dito como a SynAck chega ao PC, a maioria dos ransomwares se espalha através de e-mails de phishing, anúncios maliciosos em sites e aplicativos e programas de terceiros. Portanto, você deve sempre ter cuidado ao abrir documentos não solicitados enviados por um e-mail e clicar em links dentro desses documentos, a menos que verifique a fonte na tentativa de salvaguardar essa infecção de ransomware.

Embora, neste caso, apenas alguns softwares de segurança e antivírus possam defendê-lo ou alertá-lo contra a ameaça, é sempre uma boa prática ter um conjunto de segurança antivírus eficaz em seu sistema e mantê-lo atualizado. Por último, mas não menos importante: para ter um controle rígido sobre seus dados valiosos, sempre tenha uma rotina de backup que faça cópias de todos os seus arquivos importantes em um dispositivo de armazenamento externo que nem sempre está conectado ao seu PC.

Fonte: https://thehackernews.com/2018/05/synack-process-doppelganging.html

Comente

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *