De acuerdo a investigadores de Kaspersky, han detectado una nueva y mejorada versión del Ransomware SynAck que utiliza Process Doppelgänging, una técnica de inyección de código sin archivo que podría ayudar al malware a evitar su detección
Esta técnica fue presentada en diciembre del 2017 durante la conferencia de BlackHat. El objetivo principal de la técnica es utilizar transacciones NTFS, una función incorporada de Windows, para iniciar un proceso malicioso desde el archivo transaccionado para que el proceso malicioso se vea como uno legítimo.
Explican los investigadores de la firma de seguridad que los desarrolladores del malware suelen utilizar empaquetadores PE personalizados para proteger el código original del ejecutable troyano, pero que en el caso de SynAck el ejecutable está ofuscado completamente antes de la compilación, lo que significa que “la tarea de la ingeniería inversa es considerablemente más complicada con SynAck que con otras cepas recientes de Ransomware”.
Explican los investigadores de la firma de seguridad que los desarrolladores del malware suelen utilizar empaquetadores PE personalizados para proteger el código original del ejecutable troyano, pero que en el caso de SynAck el ejecutable está ofuscado completamente antes de la compilación, lo que significa que “la tarea de la ingeniería inversa es considerablemente más complicada con SynAck que con otras cepas recientes de ransomware”.
Aunque SynAckt to ataque directamente a tu empresa, su existencia es una clara evolución del Ransomware, que es cada vez más sofisticado por lo que se hace más difícil estar protegidos. Sin embargo se puede minimizar el riesgo si sabe cómo actuar y sobre todo como respaldar tus documentos importantes
Mas información Kaspersky blog