Llegamos a ustedes gracias a:



Alertas de Seguridad

La nueva variante del ransomware SynAck

utiliza la compleja técnica de Doppelgänging

[10/05/2018] Los investigadores de Kaspersky Lab han descubierto una nueva variante del ransomware troyano SynAck, que utiliza la técnica de Doppelgänging para eludir la protección antivirus ocultándose en procesos legítimos. Es la primera vez que se ve esta técnica en un ransomware que se propaga libremente. Los programadores de SynAck también implementan otros trucos para evadir la detección y el análisis: ofuscar todos los códigos de malware antes de la compilación de muestras y desaparecer si las señales sugieren que se está lanzando en un sandbox.

El ransomware SynAck se conoce desde el otoño de 2017, y en diciembre se observó que apuntaba principalmente a usuarios de habla inglesa con ataques de fuerza bruta del protocolo de escritorio remoto (RDP, por sus siglas en inglés), seguido por la descarga e instalación manual del malware. La nueva variante descubierta por los investigadores de Kaspersky Lab lleva a cabo una estrategia mucho más avanzada, utilizando la técnica Process Doppelgänging para evadir la detección.

"Process Doppelgänging, reportada en diciembre de 2017, implica una inyección de código sin archivos que aprovecha una función integrada a Windows y una implementación no documentada del cargador de procesos de Windows. Al manipular la forma en la que Windows gestiona las transacciones de archivos, los atacantes pueden hacer pasar las acciones maliciosas como procesos legítimos e inofensivos, incluso si están usando un código malicioso conocido. Doppelgänging no deja rastros, lo que hace que este tipo de intrusión sea extremadamente difícil de detectar. Es la primera vez que se observa que un ransomware emplee esta técnica para su propagación, anotó Anton Ivanov, analista principal de malware para Kaspersky Lab.

Otras características que el ejecutivo resaltó de la nueva variante de SynAck incluyen:

  • El troyano esconde su código ejecutable antes de la compilación, en lugar de empaquetarlo como la mayoría del ransomware, lo que dificulta a los investigadores emplear ingeniería inversa y analizar el código malicioso.
  • También esconde los enlaces a la función API necesaria y almacena las funciones hashes -un resumen de toda la información-en lugar de almacenar las cadenas completas.
  • Después de la instalación, el troyano revisa el directorio desde el que se inicia su ejecutable, y si detecta un intento de ponerlo en marcha desde un directorio "incorrecto" (como un posible sandbox automatizado), entonces abandona la operación.
  • El malware también sale sin ejecución si la PC víctima tiene configurado el teclado para escritura cirílica.

"Antes de cifrar archivos en un dispositivo víctima, SynAck verifica los hashes de todos los procesos y servicios en ejecución contra su propia lista codificada. Si encuentra una coincidencia, intenta interrumpir el proceso. Los procesos bloqueados de esta manera incluyen máquinas virtuales, aplicaciones de oficina, intérpretes de guiones, aplicaciones de bases de datos, sistemas de respaldo, aplicaciones de juegos y más, posiblemente para que sea más fácil capturar archivos valiosos que de otro modo podrían estar vinculados a los procesos en ejecución, explicó Ivanov.

Los investigadores creen que los ataques que usan esta nueva variante de SynAck son muy específicos. Hasta la fecha, han observado un número limitado de ataques en EE.UU., Kuwait, Alemania e Irán, con demandas de rescate por tres mil dólares.