Encontrado el primer ransomware con ‘Process Doppelgänging’ para evadir su detección

Los investigadores de seguridad han descubierto el primer ransomware que explota ‘Process Doppelgänging’.

Para quien no lo sepa, ‘Process Doppelgänging‘ es una técnica de inyección de código sin archivos que podría ayudar a evitar la detección de malware.

El ataque funciona mediante transacciones NTFS. Con ellas, inicia un proceso malicioso y reemplaza la memoria de un proceso legítimo. Engañando así a las herramientas de monitorización y al antivirus haciendoles creer que el proceso legítimo se sigue ejecutando.

Los investigadores de seguridad de Kaspersky Lab han encontrado el primer ransomwareque emplea esta técnica para evadir sus acciones maliciosas y apuntar a los usuarios de Estados Unidos, Kuwait, Alemania e Irán principalmente. Se trata de una variante deSynAck.

Un dato interesante que descubrieron es que este malware no infecta a usuarios de países específicos como Rusia, Bielorrusia, Ucrania, Georgia, Tayikistán, Kazajistán y Uzbekistán.

Para identificar el país de un usuario específico, este ransomware compara los diseños de teclado instalados en el ordenador de la víctima con una lista almacenada en el malware. Si encuentra una coincidencia, el ransomware duerme 30 segundos y llama a ExitProcesspara evitar el cifrado de los archivos.

En caso de que si se ejecute, al igual que cualquier otro ransomwareSynAck encripta el contenido de cada archivo con el algoritmo AES-256-ECB y proporciona a las víctimas una clave de descifrado hasta que se pongan en contacto con los atacantes y cumplan sus demandas.


Además, también es capaz de mostrar una nota en la pantalla de inicio de sesión de Windows modificando las claves LegalNoticeCaption y LegalNoticeText en el registro.

A pesar de que los investigadores no han determinado cómo llega este malware a sus dispositivos, la mayoría de ransomware se propaga a través de correos electrónicos dephishing, anuncios maliciosos en sitios web y aplicaciones de terceros.

Se recomienda a todos los usuarios tener una copia de seguridad almacenada en un dispositivo externo que no esté siempre conectado a su PC.

Análisis en el blog de Kaspersky:
https://securelist.com/synack-targeted-ransomware-uses-the-doppelganging-technique/85431/

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *