Connect with us

News

Ransomware, un nuovo attacco Process Doppelgänging

Redazione

Published

on

I ricercatori di Kaspersky Lab hanno individuato il primo ransomware che sfrutta il Process Doppelgänging , una nuova tecnica di iniezione di codice che può aiutare il malware a eludere il rilevamento da parte di antivirus.

L’ attacco Process Doppelgänging si avvale di una funzione di Windows incorporata  NTFS e un’implementazione obsoleta del loading dei processi di Windows, e funziona su tutte le moderne versioni del sistema operativo Microsoft Windows, incluso Windows 10.

L’attacco Doppelgänging funziona utilizzando NTFS transaction per avviare un processo dannoso sostituendo la memoria di un processo legittimo, ingannando gli strumenti di monitoraggio dei processi e l’antivirus nel credere che un processo legittimo sia in esecuzione.

I ricercatori hanno trovato per la prima volta questa nuova tipologia di ransomware, una variante di SynAck,  indirizzato agli utenti di Stati Uniti, Kuwait, Germania e Iran.



Scoperto inizialmente a settembre 2017, il ransomware SynAck utilizza tecniche di offuscamento complesse per prevenire il reverse engineering, ma i ricercatori sono riusciti a decomprimerlo e condividere le loro analisi in un post sul blog.

Una cosa interessante di SynAck è che questo ransomware non infetta macchine provenienti da paesi specifici, tra cui Russia, Bielorussia, Ucraina, Georgia, Tagikistan, Kazakistan e Uzbekistan.

Per identificare il paese di un utente specifico, il ransomware SynAck fa uso del layout di tastiera installati sul PC dell’utente rispetto a un elenco hardcoded memorizzato nel malware. Se viene trovata una corrispondenza, il ransomware rimane inattivo per 30 secondi e quindi chiama ExitProcess per impedire la crittografia dei file.

Ti potrebbe interessare

Di Maio: iL Governo contro la riforma UE del copyr... Nell'occorrenza della conferenza dedicata all'Internet Days 2018 svoltosi questa mattina, Luigi Di Maio ha apertamente preso posizione contro i famige...
AutoSploit il nuovo tool che in automatico hackera... L'hacking non è sempre difficile. Alcuni hacker di livello inferiore (script kiddie) utilizzano programmi per cercare automaticamente i dettagli di ac...
Hacker bloccano la città di Atlanta La mattina del 22 marzo, un attacco di tipo ransomware ha bloccato i dati dell'intera città di Atlanta negli Stati Uniti  con una richiesta di riscatt...
Scoperte nuove vulnerabilità nella rete LTE / 4G Un team di ricercatori di sicurezza, ha scoperto alcuni punti deboli critici nello standard dei dispositivi mobili LTE che potrebbe consentire a hacke...

Lo staff di Hackerjournal che vi fornisce ogni giorno notizie, recensioni, anteprime e interviste legate alla sicurezza digitale.

Facebook Comment


In Edicola


Dal 14 Luglio 2018!

Forum

Facebook

Collezione HJ

Trending

IN EDICOLA