Nova variante do ransomware SynAck utiliza sofisticada técnica Doppelgänging para esquivar-se da segurança
Os pesquisadores da Kaspersky Lab descobriram uma nova variante do cavalo de Troia de ransomware SynAck, que usa técnica Doppelgänging para burlar a segurança do antivírus, ocultando-se em processos legítimos.
Os pesquisadores da Kaspersky Lab descobriram uma nova variante do cavalo de Troia de ransomware SynAck, que usa técnica Doppelgänging para burlar a segurança do antivírus, ocultando-se em processos legítimos. É a primeira vez que essa técnica é observada em um ransomware em campo. Os desenvolvedores por trás do SynAck também implementam outros truques para evitar a detecção e análise. Por exemplo, ofuscam todo o código do malware antes da compilação da amostra e, se houver algum sinal de que ele está sendo executado em uma Sandbox, o encerram imediatamente.
O ransomware SynAck é conhecido desde o terceiro trimestre de 2017 e, em dezembro, atingiu principalmente usuários de idioma inglês com ataques de força bruta via protocolo RDP, seguidos do download e instalação manual do malware. A nova variante descoberta pelos pesquisadores da Kaspersky Lab implementa uma abordagem muito mais sofisticada, que utiliza a técnica Process Doppelgänging para esquivar-se da detecção.
Divulgado em dezembro de 2017, o Process Doppelgänging envolve uma injeção de código sem arquivo que tira proveito de uma função interna e de uma implementação não documentada do carregador de processos do Windows. Os invasores manipulam a maneira como o Windows lida com transações de arquivos e assim conseguem dissimular ações maliciosas como se fossem processos legítimos inofensivos, mesmo usando código malicioso conhecido. O Doppelgänging não deixa qualquer evidência que possa ser rastreada, sendo extremamente difícil detectar esse tipo de invasão. Essa é a primeira vez que foi observado um ransomware que utiliza essa técnica em campo.
Outras características dignas de atenção da nova variação do SynAck incluem:
- O cavalo de Troia ofusca seu código executável antes da compilação, em vez de empacotá-lo da maneira como faz a maioria dos outros ransomware. Isso dificulta o uso da engenharia reversa para analisar o código malicioso;
- Ele também ofusca os links para a função da API necessária e armazena hashes em cadeias de caracteres, em vez das cadeias próprias;
- Ao ser instalado, o cavalo de Troia analisa o diretório em que seu executável é iniciado e, se identificar uma tentativa de execução em um diretório ‘incorreto’, como uma possível Sandbox automatizada, encerra o processo;
- O malware também é encerrado antes de ser executado quando o computador da vítima tem um teclado definido para cirílico;
- Antes de criptografar os arquivos no dispositivo da vítima, o SynAck verifica os hashes de todos os processos e serviços em execução em relação a sua própria lista incorporada no código. Se houver uma correspondência, ele tenta matar o processo. Os processos bloqueados dessa maneira incluem máquinas virtuais, aplicativos do Office, interpretadores de script, aplicativos de banco de dados, sistemas de backup, aplicativos de jogos e outros - possivelmente para facilitar o sequestro de arquivos valiosos que, de outra forma, podem ficar amarrados aos processos em execução.
Os pesquisadores acreditam que os ataques dessa nova variante do SynAck são altamente direcionados. Até o momento, foi observado um número limitado de ataques nos EUA, Kuwait, Alemanha e Irã, com pedidos de resgate de US$ 3.000,00.
“A corrida entre atacantes e defensores no ciberespaço é interminável. A capacidade da técnica Process Doppelgänging de fazer o malware passar pelas medidas de segurança mais modernas representa uma ameaça importante que, compreensivelmente, foi adotada rapidamente pelos invasores. Nossa pesquisa mostra como o ransomware direcionado relativamente discreto SynAck usou essa técnica para aprimorar sua capacidade de dissimulação e infecção. Felizmente, a lógica de detecção desse ransomware foi implementada antes dele surgir em campo”,diz Anton Ivanov, analista chefe de malware da Kaspersky Lab
A Kaspersky Lab detecta essa variante do ransomware SynAck como:
Trojan-Ransom.Win32.Agent.abwa
Trojan-Ransom.Win32.Agent.abwb
PDM:Trojan.Win32.Generic
A Kaspersky Lab recomenda as seguintes medidas para manter usuários e dispositivos a salvo do ransomware:
- Faça backup de seus dados regularmente;
- Use uma solução de segurança confiável, equipada com detecção de comportamento e capaz de reverter ações maliciosas;
- Sempre mantenha seu software atualizado em todos os dispositivos que usa;
- Se você é uma empresa, também deve treinar seus funcionários e suas equipes de TI, além de manter seus dados sigilosos separados, com acesso restrito. Use uma solução de segurança dedicada, como o Kaspersky Endpoint Security for Business;
- Caso tenha a infelicidade de ser vítima de um malware de criptografia, não entre em pânico. Em um sistema limpo, verifique nosso siteNo More Ransom; é possível que você encontre uma ferramenta de descriptografia que o ajudará a recuperar seus arquivos.
Para saber mais sobre a nova variante falsa do SynAck, leia a postagem no blog, em Securelist.com.
Nova variante do ransomware SynAck utiliza sofisticada técnica Doppelgänging para esquivar-se da segurança
Kaspersky
Artigo relacionado Comunicado à imprensa
Novo golpe do IPVA: promessa de desconto de 50% por e-mail é fraude
Kaspersky revela e-mails persuasivos de golpistas que se passam por guias de pagamento do IPVA, com valores retirados do site legítimoLEIA MAIS >Cibercriminosos usam deepfakes de famosos para enganar vítimas em falsos jogos de aposta, revela Kaspersky
Empresa de cibersegurança explica como golpe funciona e como reconhecer uma deepfake para não se tornar mais uma vítimaLEIA MAIS >Apenas 25% dos brasileiros se sentem seguros usando bancos online ou carteiras digitais
Pesquisa da Kaspersky destaca que entre as razões de uso estão a disponibilidade em todos os momentos e facilidade na transaçãoLEIA MAIS >