Os pesquisadores da Kaspersky Lab descobriram uma nova variante do cavalo de Troia de ransomware SynAck, que usa técnica Doppelgänging para burlar a segurança do antivírus, ocultando-se em processos legítimos. É a primeira vez que essa técnica é observada em um ransomware em campo. Os desenvolvedores por trás do SynAck também implementam outros truques para evitar a detecção e análise. Por exemplo, ofuscam todo o código do malware antes da compilação da amostra e, se houver algum sinal de que ele está sendo executado em uma Sandbox, o encerram imediatamente.
O ransomware SynAck é conhecido desde o terceiro trimestre de 2017 e, em dezembro, atingiu principalmente usuários de idioma inglês com ataques de força bruta via protocolo RDP, seguidos do download e instalação manual do malware. A nova variante descoberta pelos pesquisadores da Kaspersky Lab implementa uma abordagem muito mais sofisticada, que utiliza a técnica Process Doppelgänging para esquivar-se da detecção.
Divulgado em dezembro de 2017, o Process Doppelgänging envolve uma injeção de código sem arquivo que tira proveito de uma função interna e de uma implementação não documentada do carregador de processos do Windows. Os invasores manipulam a maneira como o Windows lida com transações de arquivos e assim conseguem dissimular ações maliciosas como se fossem processos legítimos inofensivos, mesmo usando código malicioso conhecido. O Doppelgänging não deixa qualquer evidência que possa ser rastreada, sendo extremamente difícil detectar esse tipo de invasão. Essa é a primeira vez que foi observado um ransomware que utiliza essa técnica em campo.
Outras características dignas de atenção da nova variação do SynAck incluem:
- O cavalo de Troia ofusca seu código executável antes da compilação, em vez de empacotá-lo da maneira como faz a maioria dos outros ransomware. Isso dificulta o uso da engenharia reversa para analisar o código malicioso;
- Ele também ofusca os links para a função da API necessária e armazena hashes em cadeias de caracteres, em vez das cadeias próprias;
- Ao ser instalado, o cavalo de Troia analisa o diretório em que seu executável é iniciado e, se identificar uma tentativa de execução em um diretório 'incorreto', como uma possível Sandbox automatizada, encerra o processo;
- O malware também é encerrado antes de ser executado quando o computador da vítima tem um teclado definido para cirílico;
- Antes de criptografar os arquivos no dispositivo da vítima, o SynAck verifica os hashes de todos os processos e serviços em execução em relação a sua própria lista incorporada no código. Se houver uma correspondência, ele tenta matar o processo. Os processos bloqueados dessa maneira incluem máquinas virtuais, aplicativos do Office, interpretadores de script, aplicativos de banco de dados, sistemas de backup, aplicativos de jogos e outros – possivelmente para facilitar o sequestro de arquivos valiosos que, de outra forma, podem ficar amarrados aos processos em execução.
Os pesquisadores acreditam que os ataques dessa nova variante do SynAck são altamente direcionados. Até o momento, foi observado um número limitado de ataques nos EUA, Kuwait, Alemanha e Irã, com pedidos de resgate de US$ 3.000,00.
"A corrida entre atacantes e defensores no ciberespaço é interminável. A capacidade da técnica Process Doppelgänging de fazer o malware passar pelas medidas de segurança mais modernas representa uma ameaça importante que, compreensivelmente, foi adotada rapidamente pelos invasores. Nossa pesquisa mostra como o ransomware direcionado relativamente discreto SynAck usou essa técnica para aprimorar sua capacidade de dissimulação e infecção. Felizmente, a lógica de detecção desse ransomware foi implementada antes dele surgir em campo", diz Anton Ivanov, analista chefe de malware da Kaspersky Lab.
