Connect with us

News

Ransomware, un nuovo attacco Process Doppelgänging

Redazione

Published

on

I ricercatori di Kaspersky Lab hanno individuato il primo ransomware che sfrutta il Process Doppelgänging , una nuova tecnica di iniezione di codice che può aiutare il malware a eludere il rilevamento da parte di antivirus.

L’ attacco Process Doppelgänging si avvale di una funzione di Windows incorporata  NTFS e un’implementazione obsoleta del loading dei processi di Windows, e funziona su tutte le moderne versioni del sistema operativo Microsoft Windows, incluso Windows 10.

L’attacco Doppelgänging funziona utilizzando NTFS transaction per avviare un processo dannoso sostituendo la memoria di un processo legittimo, ingannando gli strumenti di monitoraggio dei processi e l’antivirus nel credere che un processo legittimo sia in esecuzione.

I ricercatori hanno trovato per la prima volta questa nuova tipologia di ransomware, una variante di SynAck,  indirizzato agli utenti di Stati Uniti, Kuwait, Germania e Iran.



Scoperto inizialmente a settembre 2017, il ransomware SynAck utilizza tecniche di offuscamento complesse per prevenire il reverse engineering, ma i ricercatori sono riusciti a decomprimerlo e condividere le loro analisi in un post sul blog.

Una cosa interessante di SynAck è che questo ransomware non infetta macchine provenienti da paesi specifici, tra cui Russia, Bielorussia, Ucraina, Georgia, Tagikistan, Kazakistan e Uzbekistan.

Per identificare il paese di un utente specifico, il ransomware SynAck fa uso del layout di tastiera installati sul PC dell’utente rispetto a un elenco hardcoded memorizzato nel malware. Se viene trovata una corrispondenza, il ransomware rimane inattivo per 30 secondi e quindi chiama ExitProcess per impedire la crittografia dei file.

Ti potrebbe interessare

AnonPlus colpisce Symantec Un sito che fa parte della galassia della società Symantec noto produttore di antivirus, è stato defacciato e messo offline. Il collettivo Anonplus ha...
WhatsApp nuova opzione contro gli Hacker WhatsApp la popolare piattaforma per scambiarsi messaggi si dota di uno strumento usato da numerosi provider , il controllo su base cloud dei link in ...
Simuliamo un attacco Costruiamo la palestra per allenare futuri penetration tester. Ci servono solo Linux, pazienza e... VirtualBox! Chi gestisce un sistema informatico s...
Anonymous lancia la campagna #OpPaperstormITA In un comunicato del 14 Dicembre il collettivo di Anonymous LuzSecITA, AntiSec, hanno lanciato la campagna #OpPaperstormITA  che mira a sensibilizzare...

Lo staff di Hackerjournal che vi fornisce ogni giorno notizie, recensioni, anteprime e interviste legate alla sicurezza digitale.

Facebook Comment


In Edicola


Dal 14 DICEMBRE 2018!

Forum

Facebook

Collezione HJ

Trending

IN EDICOLA
Copertina Hacker Journal 227