A técnica de injeção de código sem arquivo chamada Process Doppelgänging está sendo usada ativamente por não apenas um ou dois, mas um grande número de famílias de malware em estado selvagem, revelou um novo relatório compartilhado .
Descoberto no final de 2017, o Process Doppelgänging é uma variação sem filtro da técnica de injeção de processo que tira proveito de uma função interna do Windows para evitar a detecção e funciona em todas as versões modernas do sistema operacional Microsoft Windows.
O ataque Doppelgänging de processo funciona utilizando um recurso do Windows chamado Transactional NTFS (TxF) para iniciar um processo mal-intencionado substituindo a memória de um processo legítimo, enganando as ferramentas de monitoramento de processos e antivírus para acreditar que o processo legítimo está sendo executado.
Poucos meses após a divulgação desta técnica, uma variante do SynAck ransomware tornou-se o primeiro malware a explorar a técnica de Process Doppelgänging, destinada a utilizadores nos Estados Unidos, no Kuwait, na Alemanha e no Irão.
Logo depois disso, os pesquisadores descobriram um conta-gotas (loader) para o trojan bancário Osiris que também estava usando essa técnica em combinação com uma técnica de evasão de malware semelhante, anteriormente descoberta, chamada Holling de Processo.
Agora, acontece que não foram apenas SynAck ou Osiris, mas mais de 20 famílias diferentes de malware - incluindo FormBook , LokiBot , SmokeLoader , AZORult, NetWire, njRat , Pony stealer eRansomware GandCrab - tem usado malwares que aproveitam essa implementação híbrida do ataque Process Doppelgänging para evitar a detecção.
Descoberto no final de 2017, o Process Doppelgänging é uma variação sem filtro da técnica de injeção de processo que tira proveito de uma função interna do Windows para evitar a detecção e funciona em todas as versões modernas do sistema operacional Microsoft Windows.
O ataque Doppelgänging de processo funciona utilizando um recurso do Windows chamado Transactional NTFS (TxF) para iniciar um processo mal-intencionado substituindo a memória de um processo legítimo, enganando as ferramentas de monitoramento de processos e antivírus para acreditar que o processo legítimo está sendo executado.
Poucos meses após a divulgação desta técnica, uma variante do SynAck ransomware tornou-se o primeiro malware a explorar a técnica de Process Doppelgänging, destinada a utilizadores nos Estados Unidos, no Kuwait, na Alemanha e no Irão.
Logo depois disso, os pesquisadores descobriram um conta-gotas (loader) para o trojan bancário Osiris que também estava usando essa técnica em combinação com uma técnica de evasão de malware semelhante, anteriormente descoberta, chamada Holling de Processo.
Agora, acontece que não foram apenas SynAck ou Osiris, mas mais de 20 famílias diferentes de malware - incluindo FormBook , LokiBot , SmokeLoader , AZORult, NetWire, njRat , Pony stealer eRansomware GandCrab - tem usado malwares que aproveitam essa implementação híbrida do ataque Process Doppelgänging para evitar a detecção.
Depois de analisar centenas de amostras de malware, os pesquisadores de segurança da enSilo descobriram pelo menos sete versões distintas desse carregador, apelidado de " TxHollower ", usado por vários autores de malware.
"Os atacantes são conhecidos por reutilizar recursos e ferramentas em suas cadeias de ataque, os mais notáveis são os droppers, packers e loaders. Ele destaca que componentes compartilhados e códigos tornam o rastreamento e a atribuição de vários grupos ainda mais complicados", disseram os pesquisadores.
Pesquisadores acreditam que os carregadores TxHollower estão disponíveis para criminosos cibernéticos através de uma estrutura ofensiva ou um kit de exploração, eventualmente aumentando o uso de técnicas de processo de processamento em estado selvagem.
A amostra mais antiga do carregador com o recurso TxHollower foi usada em março de 2018 para distribuir a Netwire RAT e, posteriormente, também foi encontrada junto com várias versões do GandCrab , começando com a v5 e indo até a v5.2.
Além disso, os pesquisadores do enSilo também encontraram algumas amostras envolvidas em uma camada adicional, como arquivos MSI e, em alguns casos, os carregadores foram aninhados uns nos outros.
"Embora não tenhamos observado as infecções reais, pudemos encontrar algumas amostras que suspeitamos estar relacionadas à cadeia de infecção, como downloaders e droppers de TxHollower. O tipo de arquivos inclui executáveis de PE, JavaScript e documentos", afirmam os pesquisadores. disse.
Para saber mais sobre como funciona a técnica de ataque Process Doppelgänging , você pode ler o artigo anterior que publicamos em 2017, e se quiser saber mais sobre várias versões do TxHollower loader, siga diretamente para a postagem do blog enSilo publicada hoje.
Via: AnonOfficial
