Los investigadores de Kaspersky Lab descubrieron una nueva variante del ransomware troyano SynAck, que utiliza la técnica de Doppelgänging para eludir la protección antivirus ocultándose en procesos legítimos. Es la primera vez que se ve esta técnica en un ransomware que se propaga libremente. Los programadores de SynAck también implementan otros trucos para evadir la detección y el análisis: ofuscar todos los códigos de malware antes de la compilación de muestras y desaparecer si las señales sugieren que se está lanzando en un sandbox.
El ransomware SynAck se conoce desde el otoño de 2017, y en diciembre se observó que apuntaba principalmente a usuarios de habla inglesa con ataques de fuerza bruta del protocolo de escritorio remoto (RDP, por sus siglas en inglés), seguido por la descarga e instalación manual del malware. La nueva variante descubierta por los investigadores de Kaspersky Lab lleva a cabo una estrategia mucho más avanzada, utilizando la técnica Process Doppelgänging para evadir la detección.
Process Doppelgänging, reportada en diciembre de 2017, implica una inyección de código sin archivos que aprovecha una función integrada a Windows y una implementación no documentada del cargador de procesos de Windows. Al manipular la forma en la que Windows gestiona las transacciones de archivos, los atacantes pueden hacer pasar las acciones maliciosas como procesos legítimos e inofensivos, incluso si están usando un código malicioso conocido. Doppelgänging no deja rastros, lo que hace que este tipo de intrusión sea extremadamente difícil de detectar. Es la primera vez que se observa que un ransomware emplee esta técnica para su propagación.
Otras características que son importantes resaltar de la nueva variante de SynAck incluyen:
Los investigadores creen que los ataques que usan esta nueva variante de SynAck son muy específicos. Hasta la fecha, han observado un número limitado de ataques en EE.UU., Kuwait, Alemania e Irán, con demandas de rescate por $3.000 dólares.
"La carrera entre atacantes y defensores en el ciberespacio es interminable. La capacidad de la técnica Process Doppelgänging para hacer pasar el malware a través de las medidas de seguridad más recientes representa una amenaza significativa que ha sido aprovechada rápidamente por los atacantes, lo que no resulta sorprendente. Nuestra investigación muestra cómo SynAck, un ransomware de bajo perfil, utilizó esa técnica para mejorar su capacidad de penetración e infección. Afortunadamente, la lógica para la detección de este ransomware se implementó antes de que apareciera en propagación libre", dijo Anton Ivanov, analista principal de malware para Kaspersky Lab.
Kaspersky Lab detecta esta variante del ransomware SynAck como:
Trojan-Ransom.Win32.Agent.abwa
Trojan-Ransom.Win32.Agent.abwb
PDM: Trojan.Win32.Generic
Kaspersky Lab recomienda tomar las siguientes acciones para mantener a los usuarios y dispositivos a salvo del ransomware:
Para obtener más información acerca de la nueva variante falsa de SynAck, por favor visite nuestro blogpost en Securelist.com.