Llega el ransomware más inteligente hasta la fecha: SYNACK

Publicado el 8 mayo 2018 ¬ 8:56 amh.mscComentarios desactivados en Llega el ransomware más inteligente hasta la fecha: SYNACK

ransomware seguridad

Investigadores de Kaspersky han detectado una nueva y mejorada versión del ransomware SynAck que utiliza una técnica llamada Process Doppelgänging para evitar su detección.

Investigadores de seguridad han detectado el primer ransomware en explotar el Process Doppelgänging, una técnica de inyección de código sin archivo que podría ayudar al malware a evitar su detección.

La técnica fue presentada en diciembre de 2017 durante la conferencia BlackHat. Desde entonces ya se ha detectado el uso de la sofisticada técnica que intenta superar las soluciones de seguridad moderna, según puede leerse en un post publicado en Securelist, un blog de Kaspersky Lab.

Explican sus autores, Anton Ivanov, Fedor Sinitsyn y Orkhan Mamedov, que fue en abril de este año cuando vieron a la nueva variante de SynAck utilizando la técnica de Process Doppelgänging. El objetivo principal de la técnica es utilizar las transacciones NTFS, una función incorporada de Windows, para iniciar un proceso malicioso desde el archivo transaccionado para que el proceso malicioso se vea como uno legítimo. NTFS es una implementación obsoleta del cargador de procesos de Windows, y funciona en todas las versiones modernas del sistema operativo Windows de Microsoft, incluido Windows 10.

Explican los investigadores de la firma de seguridad que los desarrolladores del malware suelen utilizar empaquetadores PE personalizados para proteger el código original del ejecutable troyano, pero que en el caso de SynAck el ejecutable está ofuscado completamente antes de la compilación, lo que significa que “la tarea de la ingeniería inversa es considerablemente más complicada con SynAck que con otras cepas recientes de ransomware”.

Algo interesante sobre SynAck, un ransomware identificado en septiembre de 2017, es que no infecta a personas de países específicos, como Rusia, Bielorrusia, Ucrania, Georgia, Tayikistán, Kazajistán y Uzbekistán. Para identificar el país de un usuario específico, SynAck ransomware compara los diseños de teclado instalados en la PC del usuario con una lista codificada almacenada en el malware. Si se encuentra una coincidencia, el ransomware duerme durante 30 segundos y luego llama a ExitProcess para evitar el cifrado de los archivos.

Ver información original al respecto en Fuente:

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies