Encontrado el primer ransomware con ‘Process Doppelgänging’ para evadir su detección

Los investigadores de seguridad han descubierto el primer ransomware que explota ‘Process Doppelgänging’.

Para quien no lo sepa, ‘Process Doppelgänging‘ es una técnica de inyección de código sin archivos que podría ayudar a evitar la detección de malware.

El ataque funciona mediante transacciones NTFS. Con ellas, inicia un proceso malicioso y reemplaza la memoria de un proceso legítimo. Engañando así a las herramientas de monitorización y al antivirus haciendoles creer que el proceso legítimo se sigue ejecutando.

Los investigadores de seguridad de Kaspersky Lab han encontrado el primer ransomwareque emplea esta técnica para evadir sus acciones maliciosas y apuntar a los usuarios de Estados Unidos, Kuwait, Alemania e Irán principalmente. Se trata de una variante deSynAck.

Un dato interesante que descubrieron es que este malware no infecta a usuarios de países específicos como Rusia, Bielorrusia, Ucrania, Georgia, Tayikistán, Kazajistán y Uzbekistán.

Para identificar el país de un usuario específico, este ransomware compara los diseños de teclado instalados en el ordenador de la víctima con una lista almacenada en el malware. Si encuentra una coincidencia, el ransomware duerme 30 segundos y llama a ExitProcesspara evitar el cifrado de los archivos.

En caso de que si se ejecute, al igual que cualquier otro ransomwareSynAck encripta el contenido de cada archivo con el algoritmo AES-256-ECB y proporciona a las víctimas una clave de descifrado hasta que se pongan en contacto con los atacantes y cumplan sus demandas.


Además, también es capaz de mostrar una nota en la pantalla de inicio de sesión de Windows modificando las claves LegalNoticeCaption y LegalNoticeText en el registro.

A pesar de que los investigadores no han determinado cómo llega este malware a sus dispositivos, la mayoría de ransomware se propaga a través de correos electrónicos dephishing, anuncios maliciosos en sitios web y aplicaciones de terceros.

Se recomienda a todos los usuarios tener una copia de seguridad almacenada en un dispositivo externo que no esté siempre conectado a su PC.

Análisis en el blog de Kaspersky:
https://securelist.com/synack-targeted-ransomware-uses-the-doppelganging-technique/85431/

Nueva actualización de Koodous disponible en Google Play

El pasado 3 de mayo se publicó en Google Play una nueva versión de Koodous. Concretamente la 2.1.10, que introduce cambios en su interfaz y nuevas funcionalidades que repasaremos a continuación.

 

Cuando empezamos en 2015, Koodous contaba con un dataset de aplicaciones de a penas 3 millones de muestras. Hoy día contamos con más de 28 millones de APK y un volumen de más de 10.500 usuarios activos, de los cuales más de 3.500 son analistas.

Para quienes no lo conozcan, Koodous Mobile funciona como antivirus, protegiendo tu dispositivo Android de aplicaciones maliciosas como troyanos, virus y publicidad abusiva.

¿Qué diferencia a Koodous de los antivirus tradicionales?

Básicamente dos cosas: por un lado el repositorio de muestras, que a día de hoy cuenta con más de 28 millones de APK. Y por otro, una comunidad creciente y activa de analistas que ayudan con sus reglas a detectar nuevas familias de malware y aplicaciones potencialmente no deseadas.

La nueva aplicación se ha reescrito casi desde cero para reducir aún más el impacto en el rendimiento, incluso en dispositivos antiguos.

Estas son las principales novedades:

Nueva interfaz

Los cambios en la interfaz permiten tener una visual más inmediata de la seguridad de nuestros dispositivos. Además se simplifica el funcionamiento: automáticamente Koodous Mobile comprobará contra su base de datos las nuevas instalaciones y actualizaciones instaladas en el dispositivo, de forma transparente al usuario. En caso de detectar alguna aplicación maliciosa se notificará al usuario y se proporcionará un acceso directo a la solución.

También se ha cuidado su estética, haciéndola visualmente más atractiva en móviles y tablets.

Instalador

Se introduce como novedad un “instalador” que comprueba la aplicación antes de que se instale en el sistema. De esta manera es posible parar el malware antes de que pueda afectar a nuestro dispositivo.

Koodous previene instalar una aplicación potencialmente maliciosa

Información extendida

Una nueva vista muestra información detallada sobre las aplicaciones instaladas en el dispositivo. De este modo se pueden revisar los permisos o realizar un análisis más exhaustivo de la aplicación a través la plataforma web.



Si aún no lo has probado os animamos a instalar esta nueva versión y proteger vuestros dispositivos con Koodous.