Connect with us

News

Ransomware, un nuovo attacco Process Doppelgänging

Redazione

Pubblicato

il










I ricercatori di Kaspersky Lab hanno individuato il primo ransomware che sfrutta il Process Doppelgänging , una nuova tecnica di iniezione di codice che può aiutare il malware a eludere il rilevamento da parte di antivirus.

L’ attacco Process Doppelgänging si avvale di una funzione di Windows incorporata  NTFS e un’implementazione obsoleta del loading dei processi di Windows, e funziona su tutte le moderne versioni del sistema operativo Microsoft Windows, incluso Windows 10.

L’attacco Doppelgänging funziona utilizzando NTFS transaction per avviare un processo dannoso sostituendo la memoria di un processo legittimo, ingannando gli strumenti di monitoraggio dei processi e l’antivirus nel credere che un processo legittimo sia in esecuzione.

I ricercatori hanno trovato per la prima volta questa nuova tipologia di ransomware, una variante di SynAck,  indirizzato agli utenti di Stati Uniti, Kuwait, Germania e Iran.



Scoperto inizialmente a settembre 2017, il ransomware SynAck utilizza tecniche di offuscamento complesse per prevenire il reverse engineering, ma i ricercatori sono riusciti a decomprimerlo e condividere le loro analisi in un post sul blog.

Una cosa interessante di SynAck è che questo ransomware non infetta macchine provenienti da paesi specifici, tra cui Russia, Bielorussia, Ucraina, Georgia, Tagikistan, Kazakistan e Uzbekistan.

Per identificare il paese di un utente specifico, il ransomware SynAck fa uso del layout di tastiera installati sul PC dell’utente rispetto a un elenco hardcoded memorizzato nel malware. Se viene trovata una corrispondenza, il ransomware rimane inattivo per 30 secondi e quindi chiama ExitProcess per impedire la crittografia dei file.

Ti potrebbe interessare

Tesla Model 3 hackerata , girano Youtube e Ubuntu C'è una crescente comunità di hacker di Tesla che riesce ad eseguire plugin aggiuntivi sui Model S e Model X. Ora, un proprietario del Modello 3 è riu...
Accademia Hacker Journal Segui i nuovi Corsi dedicati a Sicurezza & Web di HackerJournal. Collegati alla pagina e rimani aggiornato. VAI AI CORSI
Anonymous Italia : Ricorda il 5 Novembre – H... Ricorda per sempre il 5 Novembre... Anonymous Italia ricorda la data in un comunicato nel quale vengono riportati tutti gli attacchi portati a termine...
MyHeritage oltre 92 milioni di account violati MyHeritage, il servizio di test del DNA con sede in Israele progettato per investigare la storia familiare, ha rivelato che il sito Web dell'azienda è...

Lo staff di Hackerjournal che vi fornisce ogni giorno notizie, recensioni, anteprime e interviste legate alla sicurezza digitale.

Facebook Comment


In Edicola


Dal 15 FEBBGRAIO 2019!

Forum

Facebook

Trending

IN EDICOLA