Nova variante do ransomware SynAck utiliza técnica Doppelgänging para esquivar-se da segurança

0

Os pesquisadores da Kaspersky Lab descobriram uma nova variante do cavalo de Troia de ransomware SynAck, que usa técnica Doppelgänging para burlar a segurança do antivírus, ocultando-se em processos legítimos. É a primeira vez que essa técnica é observada em um ransomware em campo. Os desenvolvedores por trás do SynAck também implementam outros truques para evitar a detecção e análise. Por exemplo, ofuscam todo o código do malware antes da compilação da amostra e, se houver algum sinal de que ele está sendo executado em uma Sandbox, o encerram imediatamente.

O ransomware SynAck é conhecido desde o terceiro trimestre de 2017 e, em dezembro, atingiu principalmente usuários de idioma inglês com ataques de força bruta via protocolo RDP, seguidos do download e instalação manual do malware. A nova variante descoberta pelos pesquisadores da Kaspersky Lab implementa uma abordagem muito mais sofisticada, que utiliza a técnica Process Doppelgänging para esquivar-se da detecção.

Divulgado em dezembro de 2017, o Process Doppelgänging envolve uma injeção de código sem arquivo que tira proveito de uma função interna e de uma implementação não documentada do carregador de processos do Windows. Os invasores manipulam a maneira como o Windows lida com transações de arquivos e assim conseguem dissimular ações maliciosas como se fossem processos legítimos inofensivos, mesmo usando código malicioso conhecido. O Doppelgänging não deixa qualquer evidência que possa ser rastreada, sendo extremamente difícil detectar esse tipo de invasão. Essa é a primeira vez que foi observado um ransomware que utiliza essa técnica em campo.

Outras características dignas de atenção da nova variação do SynAck incluem:

  • O cavalo de Troia ofusca seu código executável antes da compilação, em vez de empacotá-lo da maneira como faz a maioria dos outros ransomware. Isso dificulta o uso da engenharia reversa para analisar o código malicioso;
  • Ele também ofusca os links para a função da API necessária e armazena hashes em cadeias de caracteres, em vez das cadeias próprias;
  • Ao ser instalado, o cavalo de Troia analisa o diretório em que seu executável é iniciado e, se identificar uma tentativa de execução em um diretório 'incorreto', como uma possível Sandbox automatizada, encerra o processo;
  • O malware também é encerrado antes de ser executado quando o computador da vítima tem um teclado definido para cirílico;
  • Antes de criptografar os arquivos no dispositivo da vítima, o SynAck verifica os hashes de todos os processos e serviços em execução em relação a sua própria lista incorporada no código. Se houver uma correspondência, ele tenta matar o processo. Os processos bloqueados dessa maneira incluem máquinas virtuais, aplicativos do Office, interpretadores de script, aplicativos de banco de dados, sistemas de backup, aplicativos de jogos e outros – possivelmente para facilitar o sequestro de arquivos valiosos que, de outra forma, podem ficar amarrados aos processos em execução.

Os pesquisadores acreditam que os ataques dessa nova variante do SynAck são altamente direcionados. Até o momento, foi observado um número limitado de ataques nos EUA, Kuwait, Alemanha e Irã, com pedidos de resgate de US$ 3.000,00.

"A corrida entre atacantes e defensores no ciberespaço é interminável. A capacidade da técnica Process Doppelgänging de fazer o malware passar pelas medidas de segurança mais modernas representa uma ameaça importante que, compreensivelmente, foi adotada rapidamente pelos invasores. Nossa pesquisa mostra como o ransomware direcionado relativamente discreto SynAck usou essa técnica para aprimorar sua capacidade de dissimulação e infecção. Felizmente, a lógica de detecção desse ransomware foi implementada antes dele surgir em campo", diz Anton Ivanov, analista chefe de malware da Kaspersky Lab.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.