APC
 Kaspersky Lab: nuova variante del ransomware SynAck

Kaspersky Lab: nuova variante del ransomware SynAck

I ricercatori di Kaspersky Lab hanno scoperto una nuova variante del ransomware Trojan SynAck che utilizza una tecnica di Doppelgänging per bypassare i dispositivi anti-virus di sicurezza, nascondendosi dietro l’esecuzione di programmi legittimi.

Pubblicato: 07/05/2018 15:30

di: Redazione BitCity.it

   

Il ransomware SynAck è noto dall’autunno del 2017; a dicembre sono stati analizzati degli attacchi aggressivi, con Remote Desktop Protocol (RDP), che avevano come obiettivo utenti per lo più di lingua inglese; a questi attacchi sono seguiti download manuali e installazioni di malware.
La nuova variante di SynAck scoperta dai ricercatori di Kaspersky Lab adotta un approccio ancor più articolato, introducendo la tecnica del Process Doppelgänging per ingannare i sistemi di rilevamento. Individuato a dicembre 2017, il Process Doppelgänging prevede l’inserimento di un codice fileless che sfrutta una funzione Windows integrata e un'implementazione non documentata del Process Loader di Windows. Manipolando il modo in cui Windows stesso gestisce i passaggi dei file, gli autori di attacchi possono far passare azioni malevole come processi innocui e legittimi, anche se utilizzano un codice dannoso conosciuto. Il Doppelgänging non lascia tracce evidenti; per questo motivo è un tipo di intrusione molto difficile da rilevare. Questa è la prima volta che una tecnica del genere è stata usata per un ransomware. 
Vediamo altre caratteristiche degne di nota della nuova variante di SynAck: 
  • Il Trojan offusca il suo codice eseguibile prima della compilazione, invece che comprimerlo come fanno la maggior parte degli altri ransomware; in questo modo per i ricercatori è più difficile effettuare il processo di reverse engineering e analizzare il codice dannoso.
  • Oscura anche i link alla funzione API necessaria e archivia hash in stringhe al posto delle stringhe attuali.
  • Al momento dell'installazione, il Trojan esamina la directory da cui è stato avviato il suo eseguibile e, se rileva un tentativo di avvio da una directory “errata", come una potenziale sandbox automatica, esce dall’installazione.
  • Il malware “esce” anche senza esecuzione se il PC vittima ha una tastiera settata in cirillico.
  • Prima di crittografare i file sul dispositivo attaccato, SynAck controlla le funzioni hash di tutti i processi e i servizi in esecuzione, mettendole a confronto con la propria lista codificata. Se individua una corrispondenza, cerca di interrompere il processo. I processi bloccati in questo modo includono macchine virtuali, applicazioni office, script interpreter, database application, sistemi di backup, applicazioni legate al gaming e altro ancora. SynAck agisce in questo modo probabilmente per rendere più facile il processo di conquista di file importanti che potrebbero altrimenti essere legati ai processi in esecuzione.
I ricercatori ritengono che gli attacchi che utilizzano questa nuova variante di SynAck siano altamente mirati. Ad oggi hanno osservato un numero limitato di attacchi negli Stati Uniti, in Kuwait, in Germania e in Iran, con richieste di riscatto da 3.000 dollari. 
"Nel cyberspazio la competizione tra autori di attacchi e difensori è senza fine: nella tecnica del Process Doppelgänging la capacità di sottrarre i malware alle ultime misure di sicurezza rappresenta una minaccia significativa; minaccia che, ovviamente, è stata subito sfruttata dai criminali. La nostra ricerca mostra come un ransomware come SynAck, di profilo relativamente basso, sia stato in grado di utilizzare questa tecnica per migliorare le sue capacità di occultamento e infezione. Per fortuna, la logica di rilevamento legata ai questo ransomware è stata implementata prima che si manifestasse", ha dichiarato Anton Ivanov, Lead Malware Analyst di Kaspersky Lab. 

Kaspersky Lab rileva questa variante del ransomware SynAck come: 
  • Trojan-Ransom.Win32.Agent.abwa
  • Trojan-Ransom.Win32.Agent.abwb
  • PDM:Trojan.Win32.Generic

Ultime News
San Marino leader del 5G in Europa: al via i primi servizi

San Marino leader del 5G in Europa: al via i primi servizi

Prossima attivazione, con la collaborazione di Nokia, dei primi nodi di rete 5G per trasformare...

L'11 e il 12 giugno l'hackathon dedicato a TOBi, l'assistente digitale di Vodafone

L'11 e il 12 giugno l'hackathon dedicato a TOBi, l'assistente digitale di Vodafone

"TOBi Hack" è aperto a studenti, giovani e startupper che vorranno mettersi in gioco in una...

 Raz Degan e Michelle Hunziker sono i personaggi delle spettacolo più cercati nel web

Raz Degan e Michelle Hunziker sono i personaggi delle spettacolo più cercati nel web

Tra gli uomini completano il podio Beppe Grillo e Adriano Celentano. Tra le donne al secondo...

Tutti i libri per le vacanze in un solo

Tutti i libri per le vacanze in un solo "Touch" con Pocketbook HD2

Il dispositivo contiene 97 e-book gratuiti preinstallati in 14 lingue (di cui 7 in italiano).

Qualcomm e Facebook portano la connessione ad alta velocità oltre i 60GHz nelle aree urbane

Qualcomm e Facebook portano la connessione ad alta velocità oltre i 60GHz nelle aree urbane

Facebook e Qualcomm hanno stretto un accordo per migliorare il progetto “Terragraph” che mira a...

Al via EpicTourApp, l'app rende virale il patrimonio culturale italiano

Al via EpicTourApp, l'app rende virale il patrimonio culturale italiano

Debutta l'applicazione che sfida a scalare la classifica attraverso quesiti, prove creative...

I piu' letti
Per Voi


Uspi BitCity e' una testata giornalistica registrata presso il tribunale di Como , n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L. - Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.

G11Media