Malware populares utilizan el 'Proceso de Doppelgänging' para Evadir detección

La técnica de inyección de código sin archivo llamada Process Doppelgänging está siendo utilizada activamente no solo por uno o dos, sino por un gran número de familias de malware en la naturaleza, reveló un nuevo informe compartido con The Hacker News.

Descubierto a finales de 2017, Process Doppelgänging es una variación sin archivos de la técnica de inyección de procesos que aprovecha la función integrada de Windows para evadir la detección y funciona en todas las versiones modernas del sistema operativo Microsoft Windows.

El ataque de proceso Doppelgänging funciona al utilizar una función de Windows llamada Transactional NTFS (TxF) para iniciar un proceso malintencionado al reemplazar la memoria de un proceso legítimo, engañar a las herramientas de monitoreo de procesos y al antivirus para que crean que se está ejecutando el proceso legítimo.

Pocos meses después de la divulgación de esta técnica, una variante del ransomware SynAck se convirtió en el primer malware que explotaba la técnica de proceso Doppelgänging, dirigida a usuarios en los Estados Unidos, Kuwait, Alemania e Irán.

Poco después, los investigadores descubrieron un cuentagotas (cargador) para el troyano bancario Osiris que también estaba usando esta técnica en combinación con una técnica similar de evasión de malware previamente descubierta llamada Process Hollowing.

Ahora, resulta que no se trataba solo de SynAck u Osiris, sino de más de 20 familias de malware diferentes, incluidos FormBook , LokiBot , SmokeLoader , AZORult, NetWire, njRat , Pony robo y GandCrab ransomware; han estado utilizando cargadores de malware que aprovechan este híbrido Implementación del proceso Doppelgänging attack para evadir la detección.


"Se sabe que los atacantes reutilizan recursos y herramientas en sus cadenas de ataque, los más notables son descargadores, empacadores y cargadores. Destaca que los componentes compartidos y el código hacen que el seguimiento y la atribución de varios grupos sean aún más complicados", dijeron los investigadores.

Los investigadores creen que los cargadores TxHollower están disponibles para los ciberdelincuentes a través de un marco ofensivo o un kit de explotación, lo que eventualmente aumenta el uso de técnicas de proceso doppelgänging en la naturaleza.

La muestra más temprana del cargador con la función TxHollower se usó en marzo de 2018 para distribuir Netwire RAT, y luego también se encontró con varias versiones de GandCrab , comenzando con v5 y llegando hasta v5.2.
Además de esto, los investigadores de enSilo también encontraron algunas muestras envueltas en una capa adicional como los archivos MSI y, en algunos casos, los cargadores se anidaron entre sí.

"Si bien no observamos las infecciones reales, pudimos encontrar algunas muestras que sospechamos que están relacionadas con la cadena de infección, como los descargadores y goteros de TxHollower. El tipo de archivos incluye ejecutables de PE, JavaScript y documentos", señalaron los investigadores. dijo.

Para obtener más información sobre cómo funciona la  técnica de ataque Process Doppelgänging , puede leer el artículo anterior que publicamos en 2017, y si desea saber más acerca de varias versiones del cargador TxHollower, puede dirigirse directamente al blog de enSilo publicado hoy.


Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta