Los investigadores de
seguridad han descubierto el primer ransomware que explota 'Process
Doppelgänging'.
Para quien no lo
sepa, 'Process Doppelgänging' es una técnica de inyección de código sin
archivos que podría ayudar a evitar la detección de malware.
El ataque funciona
mediante transacciones NTFS. Con ellas, inicia un proceso malicioso y reemplaza
la memoria de un proceso legítimo. Engañando así a las herramientas de
monitorización y al antivirus haciendoles creer que el proceso legítimo se
sigue ejecutando.
Los investigadores de
seguridad de Kaspersky Lab han encontrado el primer ransomware que emplea esta
técnica para evadir sus acciones maliciosas y apuntar a los usuarios de Estados
Unidos, Kuwait, Alemania e Irán principalmente. Se trata de una variante de
SynAck.
Un dato interesante
que descubrieron es que este malware no infecta a usuarios de países
específicos como Rusia, Bielorrusia, Ucrania, Georgia, Tayikistán, Kazajistán y
Uzbekistán.
Para identificar el
país de un usuario específico, este ransomware compara los diseños de teclado
instalados en el ordenador de la víctima con una lista almacenada en el
malware. Si encuentra una coincidencia, el ransomware duerme 30 segundos y
llama a ExitProcess para evitar el cifrado de los archivos.
En caso de que si se
ejecute, al igual que cualquier otro ransomware, SynAck encripta el contenido
de cada archivo con el algoritmo AES-256-ECB y proporciona a las víctimas una
clave de descifrado hasta que se pongan en contacto con los atacantes y cumplan
sus demandas.
Además, también es
capaz de mostrar una nota en la pantalla de inicio de sesión de Windows
modificando las claves LegalNoticeCaption y LegalNoticeText en el registro.
A pesar de que los
investigadores no han determinado cómo llega este malware a sus dispositivos,
la mayoría de ransomware se propaga a través de correos electrónicos de
phishing, anuncios maliciosos en sitios web y aplicaciones de terceros.
Se recomienda a todos
los usuarios tener una copia de seguridad almcenada en un dispositivo externo
que no esté siempre conectado a su PC.
Más información:
- Análisis
en el blog de Kaspersky: https://securelist.com/synack-targeted-ransomware-uses-the-doppelganging-technique/85431/
Fuente: Hispasec