Ransomware SynAck usa la técnica Process Doppelgänging para eludir antivirus

Una variante del ransomware SynAck está utilizando la técnica Process Doppelgänging para eludir las soluciones de seguridad modernas. Esta técnica fue presentada en la Conferencia BlackHat, en diciembre de 2017.

Los expertos de Kaspersky han identificado el mes pasado que el ransomware SynAck está utilizando esta técnica para evitar que los antivirus lo detecten.

Process Doppelgänging es una técnica de inyección de código que abusa del mecanismo de Windows de transacciones NTFS para crear y ocultar procesos maliciosos, en un intento de evitar la detección por el software antivirus.

La técnica se dirige a las transacciones NTFS de Windows para iniciar un proceso malicioso y se vea como un proceso legítimo.

Además de la técnica para evitar ser detectado por el antivirus, el malware usa una rutina de cifrado de primer nivel así como la ofuscación para evitar la ingeniería inversa.

La variante del ransomware SynAck dirige su ataque principalmente a usuarios de Estados Unidos, Kuwait, Alemania e Irán, excluyendo a usuarios de Rusia, Bielorrusia, Ucrania, Georgia, Tayikistán, Kazajistán y Uzbekistán.

Es recomendable mantener la práctica de hacer copias de seguridad o respaldos de la información periódicos y almacenarlos en medios de almacenamiento externos, incluida la nube.

Deja un comentario