Este ransomware pasa desapercibido para los antivirus usando una técnica única

Software

Expertos en seguridad informática se han encontrado con un nuevo ransomware que utiliza una técnica muy específica para evitar la detección por parte de herramientas especializadas. Según explican en la documentación de su análisis, explota Process Doppelgänging, y esto significa que puede inyectar código sin que las herramientas dedicadas a la seguridad informática –antivirus, principalmente- puedan detectar la amenaza de malware. Este tipo de ataque funciona en todas las versiones de Windows, incluyendo a Windows 10.

Esta nueva forma de malware se aprovecha de una función incorporada en Windows 10, se basa en el seguimiento de transacciones del sistema de archivos NTFS. El aspecto más técnico de este tipo de ataque es realmente complejo, pero básicamente se basa en crear un proceso malicioso en el equipo a atacar, reemplazando la memoria de un proceso legítimo, para así engañar al sistema de monitorización de procesos y a las herramientas antivirus. Quienes han encontrado este nuevo ataque, que es un ransomware, son los investigadores de seguridad de Kaspersky Lab, que explican que se trata de una variante de SynAck, y que aseguran está siendo usado contra usuarios de EEUU, Kuawait, Alemania e Irán.

Este ransomware usa una técnica única para evitar que los antivirus puedan detectar su actividad maliciosa en un ordenador

SynAck se detectó por primera vez en septiembre del pasado año, y utilizaba varias técnicas de ofuscación complejas para evitar la ingeniería inversa. Sin embargo, los investigadores dedicados a la seguridad informática fueron capaces de descomprimir sus archivos, lo analizaron al detalle y se publicó toda la información técnica. Lo más curioso de esta amenaza es que hay a determinados países a los que directamente no les afecta. A los usuarios de Rusia, Bielorrusia, Ucrania, Georgia y algunos otros, no les supone riesgo alguno porque está diseñado para no afectarles.

Esto es posible porque SynAck analiza la configuración de teclado instalada en el PC del usuario, y la compara con la lista propia de los ficheros del malware. En el caso de encontrar coincidencias, algo que ocurre en países como los anteriormente mencionados, sencillamente se lanza una instrucción que evita el cifrado de los archivos del usuario. Por otro lado, también ha sido diseñado para controlar cuál es el directorio en que se va a ejecutar. Si no está donde debe, tampoco lanza el ataque de cifrado contra los archivos del usuario; en caso positivo, usa el algoritmo AES-256-ECB.

Escrito por Carlos González

Fuente > thehackernews