Ransomware, un nuovo attacco Process Doppelgänging

I ricercatori di Kaspersky Lab hanno individuato il primo ransomware che sfrutta il Process Doppelgänging , una nuova tecnica di iniezione di codice che può aiutare il malware a eludere il rilevamento da parte di antivirus.

L’ attacco Process Doppelgänging si avvale di una funzione di Windows incorporata  NTFS e un’implementazione obsoleta del loading dei processi di Windows, e funziona su tutte le moderne versioni del sistema operativo Microsoft Windows, incluso Windows 10.

L’attacco Doppelgänging funziona utilizzando NTFS transaction per avviare un processo dannoso sostituendo la memoria di un processo legittimo, ingannando gli strumenti di monitoraggio dei processi e l’antivirus nel credere che un processo legittimo sia in esecuzione.

I ricercatori hanno trovato per la prima volta questa nuova tipologia di ransomware, una variante di SynAck,  indirizzato agli utenti di Stati Uniti, Kuwait, Germania e Iran.

Scoperto inizialmente a settembre 2017, il ransomware SynAck utilizza tecniche di offuscamento complesse per prevenire il reverse engineering, ma i ricercatori sono riusciti a decomprimerlo e condividere le loro analisi in un post sul blog.

Una cosa interessante di SynAck è che questo ransomware non infetta macchine provenienti da paesi specifici, tra cui Russia, Bielorussia, Ucraina, Georgia, Tagikistan, Kazakistan e Uzbekistan.

Per identificare il paese di un utente specifico, il ransomware SynAck fa uso del layout di tastiera installati sul PC dell’utente rispetto a un elenco hardcoded memorizzato nel malware. Se viene trovata una corrispondenza, il ransomware rimane inattivo per 30 secondi e quindi chiama ExitProcess per impedire la crittografia dei file.