Foro de Ayuda IntercambiosvirtualeS

Foro de Ayuda IntercambiosvirtualeS (https://www.intercambiosos.org/index.php)
-   Noticias (https://www.intercambiosos.org/forumdisplay.php?f=8)
-   -   Este ransomware pasa desapercibido para los antivirus usando una técnica única (https://www.intercambiosos.org/showthread.php?t=50702)

peter_veneno 07-may-2018 20:36
Este ransomware pasa desapercibido para los antivirus usando una técnica única
 


Expertos en seguridad informática se han encontrado con un nuevo ransomware que utiliza una técnica muy específica para evitar la detección por parte de herramientas especializadas. Según explican en la documentación de su análisis, explota Process Doppelgänging, y esto significa que puede inyectar código sin que las herramientas dedicadas a la seguridad informática –antivirus, principalmente- puedan detectar la amenaza de malware. Este tipo de ataque funciona en todas las versiones de Windows, incluyendo a Windows 10.

Esta nueva forma de malware se aprovecha de una función incorporada en Windows 10, se basa en el seguimiento de transacciones del sistema de archivos NTFS. El aspecto más técnico de este tipo de ataque es realmente complejo, pero básicamente se basa en crear un proceso malicioso en el equipo a atacar, reemplazando la memoria de un proceso legítimo, para así engañar al sistema de monitorización de procesos y a las herramientas antivirus. Quienes han encontrado este nuevo ataque, que es un ransomware, son los investigadores de seguridad de Kaspersky Lab, que explican que se trata de una variante de SynAck, y que aseguran está siendo usado contra usuarios de EEUU, Kuawait, Alemania e Irán.

Este ransomware usa una técnica única para evitar que los antivirus puedan detectar su actividad maliciosa en un ordenador
SynAck se detectó por primera vez en septiembre del pasado año, y utilizaba varias técnicas de ofuscación complejas para evitar la ingeniería inversa. Sin embargo, los investigadores dedicados a la seguridad informática fueron capaces de descomprimir sus archivos, lo analizaron al detalle y se publicó toda la información técnica. Lo más curioso de esta amenaza es que hay a determinados países a los que directamente no les afecta. A los usuarios de Rusia, Bielorrusia, Ucrania, Georgia y algunos otros, no les supone riesgo alguno porque está diseñado para no afectarles.

Esto es posible porque SynAck analiza la configuración de teclado instalada en el PC del usuario, y la compara con la lista propia de los ficheros del malware. En el caso de encontrar coincidencias, algo que ocurre en países como los anteriormente mencionados, sencillamente se lanza una instrucción que evita el cifrado de los archivos del usuario. Por otro lado, también ha sido diseñado para controlar cuál es el directorio en que se va a ejecutar. Si no está donde debe, tampoco lanza el ataque de cifrado contra los archivos del usuario; en caso positivo, usa el algoritmo AES-256-ECB.







FUENTE


La franja horaria es GMT -4. Ahora son las 00:57.

Desarrollado por: vBulletin® Versión 3.8.1
Derechos de Autor ©2000 - 2024, Jelsoft Enterprises Ltd.

Ad Management by RedTyger