Este ransomware pasa desapercibido para los antivirus usando una técnica única

**peter_veneno** · 07-may-2018

Expertos en seguridad informática se han encontrado con un nuevo ransomware que utiliza una técnica muy específica para evitar la detección por parte de herramientas especializadas. Según explican en la documentación de su análisis, explota Process Doppelgänging, y esto significa que puede inyectar código sin que las herramientas dedicadas a la seguridad informática –antivirus, principalmente- puedan detectar la amenaza de malware. Este tipo de ataque funciona en todas las versiones de Windows, incluyendo a Windows 10.

Esta nueva forma de malware se aprovecha de una función incorporada en Windows 10, se basa en el seguimiento de transacciones del sistema de archivos NTFS. El aspecto más técnico de este tipo de ataque es realmente complejo, pero básicamente se basa en crear un proceso malicioso en el equipo a atacar, reemplazando la memoria de un proceso legítimo, para así engañar al sistema de monitorización de procesos y a las herramientas antivirus. Quienes han encontrado este nuevo ataque, que es un ransomware, son los investigadores de seguridad de Kaspersky Lab, que explican que se trata de una variante de SynAck, y que aseguran está siendo usado contra usuarios de EEUU, Kuawait, Alemania e Irán.

Este ransomware usa una técnica única para evitar que los antivirus puedan detectar su actividad maliciosa en un ordenador
SynAck se detectó por primera vez en septiembre del pasado año, y utilizaba varias técnicas de ofuscación complejas para evitar la ingeniería inversa. Sin embargo, los investigadores dedicados a la seguridad informática fueron capaces de descomprimir sus archivos, lo analizaron al detalle y se publicó toda la información técnica. Lo más curioso de esta amenaza es que hay a determinados países a los que directamente no les afecta. A los usuarios de Rusia, Bielorrusia, Ucrania, Georgia y algunos otros, no les supone riesgo alguno porque está diseñado para no afectarles.

Esto es posible porque SynAck analiza la configuración de teclado instalada en el PC del usuario, y la compara con la lista propia de los ficheros del malware. En el caso de encontrar coincidencias, algo que ocurre en países como los anteriormente mencionados, sencillamente se lanza una instrucción que evita el cifrado de los archivos del usuario. Por otro lado, también ha sido diseñado para controlar cuál es el directorio en que se va a ejecutar. Si no está donde debe, tampoco lanza el ataque de cifrado contra los archivos del usuario; en caso positivo, usa el algoritmo AES-256-ECB.

FUENTE

07-may-2018	#1
peter_veneno Erudito Ingreso: noviembre-2012 Mensajes: 4.575 Sexo: País: Signo: Agradecido: +4.971	Este ransomware pasa desapercibido para los antivirus usando una técnica única Expertos en seguridad informática se han encontrado con un nuevo ransomware que utiliza una técnica muy específica para evitar la detección por parte de herramientas especializadas. Según explican en la documentación de su análisis, explota Process Doppelgänging, y esto significa que puede inyectar código sin que las herramientas dedicadas a la seguridad informática –antivirus, principalmente- puedan detectar la amenaza de malware. Este tipo de ataque funciona en todas las versiones de Windows, incluyendo a Windows 10. Esta nueva forma de malware se aprovecha de una función incorporada en Windows 10, se basa en el seguimiento de transacciones del sistema de archivos NTFS. El aspecto más técnico de este tipo de ataque es realmente complejo, pero básicamente se basa en crear un proceso malicioso en el equipo a atacar, reemplazando la memoria de un proceso legítimo, para así engañar al sistema de monitorización de procesos y a las herramientas antivirus. Quienes han encontrado este nuevo ataque, que es un ransomware, son los investigadores de seguridad de Kaspersky Lab, que explican que se trata de una variante de SynAck, y que aseguran está siendo usado contra usuarios de EEUU, Kuawait, Alemania e Irán. Este ransomware usa una técnica única para evitar que los antivirus puedan detectar su actividad maliciosa en un ordenador SynAck se detectó por primera vez en septiembre del pasado año, y utilizaba varias técnicas de ofuscación complejas para evitar la ingeniería inversa. Sin embargo, los investigadores dedicados a la seguridad informática fueron capaces de descomprimir sus archivos, lo analizaron al detalle y se publicó toda la información técnica. Lo más curioso de esta amenaza es que hay a determinados países a los que directamente no les afecta. A los usuarios de Rusia, Bielorrusia, Ucrania, Georgia y algunos otros, no les supone riesgo alguno porque está diseñado para no afectarles. Esto es posible porque SynAck analiza la configuración de teclado instalada en el PC del usuario, y la compara con la lista propia de los ficheros del malware. En el caso de encontrar coincidencias, algo que ocurre en países como los anteriormente mencionados, sencillamente se lanza una instrucción que evita el cifrado de los archivos del usuario. Por otro lado, también ha sido diseñado para controlar cuál es el directorio en que se va a ejecutar. Si no está donde debe, tampoco lanza el ataque de cifrado contra los archivos del usuario; en caso positivo, usa el algoritmo AES-256-ECB. FUENTE

Herramientas
Mostrar Versión Imprimible Enviar por Correo
Desplegado
Mode Lineal Cambiar a Modo Hibrido Cambiar a Modo Hilado

Temas Similares
Tema	Autor	Foro	Respuestas	Último mensaje
Herramientas del FORO - Cómo Funciona el Foro de Ayuda de Intercambios & Chat	logo	Tutoriales sobre Intercambios	53	21-ago-2017 22:00
Diccionario de Internet e Informática	baduser	Internet, Redes & Network	9	13-jun-2015 09:56
Listado de todos los códigos de error generados por Windows	Froyandres	Sistemas Operativos	13	09-ene-2014 23:33
Los 10 mejores antivirus para tu móvil Android	Abraxas	Seguridad	9	04-dic-2012 21:07
Los Servicios de Windows Professional XP	cbyte	XP/2000/2003/NT	12	28-nov-2010 18:55

Usuarios que han agradecido este mensaje de peter_veneno
albertoraul64 (11-jun-2018)

(0 miembros y 1 visitantes)