Os pesquisadores da Kaspersky Lab descobriram uma nova variante do cavalo de Troia de ransomware SynAck, que usa técnica Doppelgänging para burlar a segurança do antivírus, ocultando-se em processos legítimos. É a primeira vez que essa técnica é observada em um ransomware em campo. Os desenvolvedores por trás do SynAck também implementam outros truques para evitar a detecção e análise. Por exemplo, ofuscam todo o código do malware antes da compilação da amostra e, se houver algum sinal de que ele está sendo executado em uma Sandbox, o encerram imediatamente.
O ransomware SynAck é conhecido desde o terceiro trimestre de 2017 e, em dezembro, atingiu principalmente usuários de idioma inglês com ataques de força bruta via protocolo RDP, seguidos do download e instalação manual do malware. A nova variante descoberta pelos pesquisadores da Kaspersky Lab implementa uma abordagem muito mais sofisticada, que utiliza a técnica Process Doppelgänging para esquivar-se da detecção.
Divulgado em dezembro de 2017, o Process Doppelgänging envolve uma injeção de código sem arquivo que tira proveito de uma função interna e de uma implementação não documentada do carregador de processos do Windows. Os invasores manipulam a maneira como o Windows lida com transações de arquivos e assim conseguem dissimular ações maliciosas como se fossem processos legítimos inofensivos, mesmo usando código malicioso conhecido. O Doppelgänging não deixa qualquer evidência que possa ser rastreada, sendo extremamente difícil detectar esse tipo de invasão. Essa é a primeira vez que foi observado um ransomware que utiliza essa técnica em campo.
Outras características dignas de atenção da nova variação do SynAck incluem:
Os pesquisadores acreditam que os ataques dessa nova variante do SynAck são altamente direcionados. Até o momento, foi observado um número limitado de ataques nos EUA, Kuwait, Alemanha e Irã, com pedidos de resgate de US$ 3.000,00.
“A corrida entre atacantes e defensores no ciberespaço é interminável. A capacidade da técnica Process Doppelgänging de fazer o malware passar pelas medidas de segurança mais modernas representa uma ameaça importante que, compreensivelmente, foi adotada rapidamente pelos invasores. Nossa pesquisa mostra como o ransomware direcionado relativamente discreto SynAck usou essa técnica para aprimorar sua capacidade de dissimulação e infecção. Felizmente, a lógica de detecção desse ransomware foi implementada antes dele surgir em campo”,diz Anton Ivanov, analista chefe de malware da Kaspersky Lab
A Kaspersky Lab detecta essa variante do ransomware SynAck como:
Trojan-Ransom.Win32.Agent.abwa
Trojan-Ransom.Win32.Agent.abwb
PDM:Trojan.Win32.Generic
A Kaspersky Lab recomenda as seguintes medidas para manter usuários e dispositivos a salvo do ransomware:
Para saber mais sobre a nova variante falsa do SynAck, leia a postagem no blog, em Securelist.com.