Ir para o conteúdo principal

Nova variante do ransomware SynAck utiliza sofisticada técnica Doppelgänging para esquivar-se da segurança

8 de maio de 2018

Os pesquisadores da Kaspersky Lab descobriram uma nova variante do cavalo de Troia de ransomware SynAck, que usa técnica Doppelgänging para burlar a segurança do antivírus, ocultando-se em processos legítimos.

Os pesquisadores da Kaspersky Lab descobriram uma nova variante do cavalo de Troia de ransomware SynAck, que usa técnica Doppelgänging para burlar a segurança do antivírus, ocultando-se em processos legítimos. É a primeira vez que essa técnica é observada em um ransomware em campo. Os desenvolvedores por trás do SynAck também implementam outros truques para evitar a detecção e análise. Por exemplo, ofuscam todo o código do malware antes da compilação da amostra e, se houver algum sinal de que ele está sendo executado em uma Sandbox, o encerram imediatamente.

O ransomware SynAck é conhecido desde o terceiro trimestre de 2017 e, em dezembro, atingiu principalmente usuários de idioma inglês com ataques de força bruta via protocolo RDP, seguidos do download e instalação manual do malware. A nova variante descoberta pelos pesquisadores da Kaspersky Lab implementa uma abordagem muito mais sofisticada, que utiliza a técnica Process Doppelgänging para esquivar-se da detecção.

Divulgado em dezembro de 2017, o Process Doppelgänging envolve uma injeção de código sem arquivo que tira proveito de uma função interna e de uma implementação não documentada do carregador de processos do Windows. Os invasores manipulam a maneira como o Windows lida com transações de arquivos e assim conseguem dissimular ações maliciosas como se fossem processos legítimos inofensivos, mesmo usando código malicioso conhecido. O Doppelgänging não deixa qualquer evidência que possa ser rastreada, sendo extremamente difícil detectar esse tipo de invasão. Essa é a primeira vez que foi observado um ransomware que utiliza essa técnica em campo.

Outras características dignas de atenção da nova variação do SynAck incluem:

  • O cavalo de Troia ofusca seu código executável antes da compilação, em vez de empacotá-lo da maneira como faz a maioria dos outros ransomware. Isso dificulta o uso da engenharia reversa para analisar o código malicioso;
  • Ele também ofusca os links para a função da API necessária e armazena hashes em cadeias de caracteres, em vez das cadeias próprias;
  • Ao ser instalado, o cavalo de Troia analisa o diretório em que seu executável é iniciado e, se identificar uma tentativa de execução em um diretório ‘incorreto’, como uma possível Sandbox automatizada, encerra o processo;
  • O malware também é encerrado antes de ser executado quando o computador da vítima tem um teclado definido para cirílico;
  • Antes de criptografar os arquivos no dispositivo da vítima, o SynAck verifica os hashes de todos os processos e serviços em execução em relação a sua própria lista incorporada no código. Se houver uma correspondência, ele tenta matar o processo. Os processos bloqueados dessa maneira incluem máquinas virtuais, aplicativos do Office, interpretadores de script, aplicativos de banco de dados, sistemas de backup, aplicativos de jogos e outros - possivelmente para facilitar o sequestro de arquivos valiosos que, de outra forma, podem ficar amarrados aos processos em execução.

Os pesquisadores acreditam que os ataques dessa nova variante do SynAck são altamente direcionados. Até o momento, foi observado um número limitado de ataques nos EUA, Kuwait, Alemanha e Irã, com pedidos de resgate de US$ 3.000,00.

“A corrida entre atacantes e defensores no ciberespaço é interminável. A capacidade da técnica Process Doppelgänging de fazer o malware passar pelas medidas de segurança mais modernas representa uma ameaça importante que, compreensivelmente, foi adotada rapidamente pelos invasores. Nossa pesquisa mostra como o ransomware direcionado relativamente discreto SynAck usou essa técnica para aprimorar sua capacidade de dissimulação e infecção. Felizmente, a lógica de detecção desse ransomware foi implementada antes dele surgir em campo”,diz Anton Ivanov, analista chefe de malware da Kaspersky Lab

A Kaspersky Lab detecta essa variante do ransomware SynAck como:

Trojan-Ransom.Win32.Agent.abwa

Trojan-Ransom.Win32.Agent.abwb

PDM:Trojan.Win32.Generic

A Kaspersky Lab recomenda as seguintes medidas para manter usuários e dispositivos a salvo do ransomware:

  • Faça backup de seus dados regularmente;
  • Use uma solução de segurança confiável, equipada com detecção de comportamento e capaz de reverter ações maliciosas;
  • Sempre mantenha seu software atualizado em todos os dispositivos que usa;
  • Se você é uma empresa, também deve treinar seus funcionários e suas equipes de TI, além de manter seus dados sigilosos separados, com acesso restrito. Use uma solução de segurança dedicada, como o Kaspersky Endpoint Security for Business;
  • Caso tenha a infelicidade de ser vítima de um malware de criptografia, não entre em pânico. Em um sistema limpo, verifique nosso siteNo More Ransom; é possível que você encontre uma ferramenta de descriptografia que o ajudará a recuperar seus arquivos.

Para saber mais sobre a nova variante falsa do SynAck, leia a postagem no blog, em Securelist.com.

Nova variante do ransomware SynAck utiliza sofisticada técnica Doppelgänging para esquivar-se da segurança

Os pesquisadores da Kaspersky Lab descobriram uma nova variante do cavalo de Troia de ransomware SynAck, que usa técnica Doppelgänging para burlar a segurança do antivírus, ocultando-se em processos legítimos.
Kaspersky logo

Sobre a Kaspersky

A Kaspersky é uma empresa global de cibersegurança e privacidade digital fundada em 1997. Com mais de um bilhão de dispositivos protegidos contra ciberameaças emergentes e ataques direcionados, seu profundo conhecimento do panorama de inteligência de ameaças e a sua experiência em segurança estão constantemente se transformando em soluções e serviços inovadores para proteger empresas, infraestruturas críticas, governos e pessoas em todo o mundo. O portfólio abrangente de segurança da empresa inclui proteção líder para endpoint, produtos e serviços de segurança especializados, bem como soluções de Ciberimunidade para combater ameaças digitais sofisticadas e em evolução. Ajudamos mais de 200.000 clientes corporativos a proteger o que lhes é mais importante. Mais informações no www.kaspersky.com.br.

Artigo relacionado Comunicado à imprensa