Este malware es capaz de saltarse la mayoría de antivirus en todas las versiones de Windows

Virus

Las amenazas de seguridad siguen apareciendo de forma incontrolada, pero la que nos ocupa en este artículo parece especialmente preocupante. Un grupo de investigadores de un equipo de seguridad ha descubierto la existencia de un nuevo malware con técnicas de evasión capaces de ayudar a los ciberdelincuentes a saltarse todas las medidas de seguridad de los antivirus y herramientas de seguridad. Además, funciona en todas las versiones de Windows. Os damos todas las claves de Process Doppelgänging.

Bautizado como Process Doppelgänging, esta nueva técnica de inyección de código aprovecha una función nativa de Windows y una implementación desactualizada para cargar procesos. Los responsables del hallazgo han presentado su descubrimiento durante la conferencia de seguridad Black Hat 2017 celebra en la ciudad de Londres.

Process Doppelgänging ayuda a saltarse las medidas de seguridad de los antivirus Windows

Según han explicado, Process Doppelgänging es capaz de atacar todas las versiones modernas del sistema operativo de Microsoft. Esto implica que es capaz de comprometer la seguridad desde Windows Vista a Windows 10. El jefe de la investigación señala que su funcionamiento es similar al de la técnica Process Hollowing utilizada hace años para saltarse las funciones de mitigación de las principales soluciones de seguridad.

Process Doppelgänging

En este momento, todos los antivirus modernos se han actualizado para que Process Hollowing no sirva de nada, por lo que se ha tenido que buscar otro enfoque para lograr al similar. En este caso, tenemos Process Doppelgänging que “abusa” de las Windows NTFS Transactions y de esa implementación desactualizada de Windows que fue diseñada en su momento para Windows XP, pero que ha pasando de versión en versión.

En las pruebas realizadas han conseguir saltarse con éxito las medidas de seguridad impuestas por Windows Defender, Kaspersky Labs, ESET NOD32, Symantec, Trend Micro, Avast, McAfee, AVG, Panda o herramientas como Volatility. En Windows 7 Service Pack 1, Windows 8.1 y Windows 10 ha demostrado su funcionamiento.

Eso sí, hay que dejar claro que no han sido capaces de saltarse la seguridad de los antivirus en Windows 10 Fall Creators Update debido a que el uso de esta técnica provocaba un error y la consiguiente aparición del famoso pantallazo azul de la muerte. Curiosamente, Microsoft parcheó recientemente este problema, por lo que es posible que Process Doppelgänging vuelva a funcionar incluso en estas versiones.

Aunque no se espera una respuesta inmediata de Microsoft lanzando un parche de seguridad de emergencia, sí sería recomendable que las principales soluciones de seguridad, con los antivirus a la cabeza, lanzaran actualizaciones para acabar con esta técnica.

Escrito por Claudio Valero

Fuente > thehackernews