Connect with us

News

Ransomware, un nuovo attacco Process Doppelgänging

Redazione

Published

on

I ricercatori di Kaspersky Lab hanno individuato il primo ransomware che sfrutta il Process Doppelgänging , una nuova tecnica di iniezione di codice che può aiutare il malware a eludere il rilevamento da parte di antivirus.

L’ attacco Process Doppelgänging si avvale di una funzione di Windows incorporata  NTFS e un’implementazione obsoleta del loading dei processi di Windows, e funziona su tutte le moderne versioni del sistema operativo Microsoft Windows, incluso Windows 10.

L’attacco Doppelgänging funziona utilizzando NTFS transaction per avviare un processo dannoso sostituendo la memoria di un processo legittimo, ingannando gli strumenti di monitoraggio dei processi e l’antivirus nel credere che un processo legittimo sia in esecuzione.

I ricercatori hanno trovato per la prima volta questa nuova tipologia di ransomware, una variante di SynAck,  indirizzato agli utenti di Stati Uniti, Kuwait, Germania e Iran.



Scoperto inizialmente a settembre 2017, il ransomware SynAck utilizza tecniche di offuscamento complesse per prevenire il reverse engineering, ma i ricercatori sono riusciti a decomprimerlo e condividere le loro analisi in un post sul blog.

Una cosa interessante di SynAck è che questo ransomware non infetta macchine provenienti da paesi specifici, tra cui Russia, Bielorussia, Ucraina, Georgia, Tagikistan, Kazakistan e Uzbekistan.

Per identificare il paese di un utente specifico, il ransomware SynAck fa uso del layout di tastiera installati sul PC dell’utente rispetto a un elenco hardcoded memorizzato nel malware. Se viene trovata una corrispondenza, il ransomware rimane inattivo per 30 secondi e quindi chiama ExitProcess per impedire la crittografia dei file.

Ti potrebbe interessare

Cloudflare lancia 1.1.1.1 il nuovo DNS Ultra Sicur... Cloudflare, il più grande provider di ottimizzazione per siti Web, ha da poco lanciato il nuovo servizio DNS che promette di essere più veloce e sicur...
Wikipedia Italia oscura le pagine contro la dirett... Il 5 luglio si voterà nel parlamento Europeo la nuova direttiva sul Copyright che se approvata potrebbe minare la stessa natura libera e democratica d...
Fortnite oltre 80.000 utenti infetti da malware Se cerchi un generatore di v-bucks Fortnite, aimbot o altri trucchi del gioco, allora fai attenzione: potresti finire con l'installare malware sul tuo...
Identity Bounty Program: Microsoft offre 100.000$ ... Microsoft ha lanciato  un nuovo programma di identify bug per ricercatori che trovano vulnerabilità di sicurezza  legati ai "servizi di identità / log...

Lo staff di Hackerjournal che vi fornisce ogni giorno notizie, recensioni, anteprime e interviste legate alla sicurezza digitale.

Facebook Comment


In Edicola


Dal 14 SETTEMBRE 2018!

Forum

Facebook

Collezione HJ

Trending

IN EDICOLA