lunes, 7 de mayo de 2018

Encontrado el primer ransomware con 'Process Doppelgänging' para evadir su detección

Los investigadores de seguridad han descubierto el primer ransomware que explota 'Process Doppelgänging'.



Para quien no lo sepa, 'Process Doppelgänging' es una técnica de inyección de código sin archivos que podría ayudar a evitar la detección de malware.

El ataque funciona mediante transacciones NTFS. Con ellas, inicia un proceso malicioso y reemplaza la memoria de un proceso legítimo. Engañando así a las herramientas de monitorización y al antivirus haciendoles creer que el proceso legítimo se sigue ejecutando.

Los investigadores de seguridad de Kaspersky Lab han encontrado el primer ransomware que emplea esta técnica para evadir sus acciones maliciosas y apuntar a los usuarios de Estados Unidos, Kuwait, Alemania e Irán principalmente. Se trata de una variante de SynAck.

Un dato interesante que descubrieron es que este malware no infecta a usuarios de países específicos como Rusia, Bielorrusia, Ucrania, Georgia, Tayikistán, Kazajistán y Uzbekistán. 

Para identificar el país de un usuario específico, este ransomware compara los diseños de teclado instalados en el ordenador de la víctima con una lista almacenada en el malware. Si encuentra una coincidencia, el ransomware duerme 30 segundos y llama a ExitProcess para evitar el cifrado de los archivos.

En caso de que si se ejecute, al igual que cualquier otro ransomware, SynAck encripta el contenido de cada archivo con el algoritmo AES-256-ECB y proporciona a las víctimas una clave de descifrado hasta que se pongan en contacto con los atacantes y cumplan sus demandas.


Además, también es capaz de mostrar una nota en la pantalla de inicio de sesión de Windows modificando las claves LegalNoticeCaption y LegalNoticeText en el registro.

A pesar de que los investigadores no han determinado cómo llega este malware a sus dispositivos, la mayoría de ransomware se propaga a través de correos electrónicos de phishing, anuncios maliciosos en sitios web y aplicaciones de terceros.

Se recomienda a todos los usuarios tener una copia de seguridad almcenada en un dispositivo externo que no esté siempre conectado a su PC.


Daniel Púa
@dpua_
dpua@hispasec.com

Más información: