Trojan: Malware mais Popular Usando 'Process Doppelgänging ' 2019 - Anonymous Hacker

[Latest News][10]

Análise de Vulnerabilidade
ANDROID
ANONYMOUS
ANTI-DDOS
ANTI-SPYWARES E ADWARES
APK PRO
APOSTILAS
CIÊNCIA
CURSO PHP
CURSO TCP / IP
CURSOS
CYBORG
CYBORG FALÇÃO
DDOS
DEEPWEB
DICAS
DOCUMENTARIO
DoS
EXPLOIT
FACEBOOK
Ferramentas de rede
FORENSE DIGITAL
INVASÕES
IPHONE
JOGOS
KALI LINUX
Lixão
MAC OS
Malware
MySQL
NOTÍCIAS
PAGINA FAKE
PHP SCRIPT
Programa De Invasao
PROGRAMAÇÃO
PROGRAMAS
PROXY
SCRIPTS
SEGURANÇA
SHELL
SISTEMA OPERACIONAL
TÉCNICA DE INVASÃO
Termux
VIDEOS
VPN
WHATSAPP
WINDOWS
Wireless Attacks
z=

Trojan: Malware mais Popular Usando 'Process Doppelgänging ' 2019


A técnica de injeção de código sem arquivo chamada Process Doppelgänging está sendo usada ativamente por não apenas um ou dois, mas um grande número de famílias de malware em estado selvagem, revelou um novo relatório compartilhado .

Descoberto no final de 2017, o Process Doppelgänging é uma variação sem filtro da técnica de injeção de processo que tira proveito de uma função interna do Windows para evitar a detecção e funciona em todas as versões modernas do sistema operacional Microsoft Windows.

O ataque Doppelgänging de processo funciona utilizando um recurso do Windows chamado Transactional NTFS (TxF) para iniciar um processo mal-intencionado substituindo a memória de um processo legítimo, enganando as ferramentas de monitoramento de processos e antivírus para acreditar que o processo legítimo está sendo executado.

Poucos meses após a divulgação desta técnica, uma variante do SynAck ransomware tornou-se o primeiro malware a explorar a técnica de Process Doppelgänging, destinada a utilizadores nos Estados Unidos, no Kuwait, na Alemanha e no Irão.

Logo depois disso, os pesquisadores descobriram um conta-gotas (loader) para o trojan bancário Osiris que também estava usando essa técnica em combinação com uma técnica de evasão de malware semelhante, anteriormente descoberta, chamada Holling de Processo.

Agora, acontece que não foram apenas SynAck ou Osiris, mas mais de 20 famílias diferentes de malware - incluindo FormBook , LokiBot , SmokeLoader , AZORult, NetWire, njRat , Pony stealer eRansomware GandCrab - tem usado malwares que aproveitam essa implementação híbrida do ataque Process Doppelgänging para evitar a detecção.


Depois de analisar centenas de amostras de malware, os pesquisadores de segurança da enSilo descobriram pelo menos sete versões distintas desse carregador, apelidado de " TxHollower ", usado por vários autores de malware.
"Os atacantes são conhecidos por reutilizar recursos e ferramentas em suas cadeias de ataque, os mais notáveis ​​são os droppers, packers e loaders. Ele destaca que componentes compartilhados e códigos tornam o rastreamento e a atribuição de vários grupos ainda mais complicados", disseram os pesquisadores.

Pesquisadores acreditam que os carregadores TxHollower estão disponíveis para criminosos cibernéticos através de uma estrutura ofensiva ou um kit de exploração, eventualmente aumentando o uso de técnicas de processo de processamento em estado selvagem.


A amostra mais antiga do carregador com o recurso TxHollower foi usada em março de 2018 para distribuir a Netwire RAT e, posteriormente, também foi encontrada junto com várias versões do GandCrab , começando com a v5 e indo até a v5.2.

Além disso, os pesquisadores do enSilo também encontraram algumas amostras envolvidas em uma camada adicional, como arquivos MSI e, em alguns casos, os carregadores foram aninhados uns nos outros.

"Embora não tenhamos observado as infecções reais, pudemos encontrar algumas amostras que suspeitamos estar relacionadas à cadeia de infecção, como downloaders e droppers de TxHollower. O tipo de arquivos inclui executáveis ​​de PE, JavaScript e documentos", afirmam os pesquisadores. disse.

Para saber mais sobre como  funciona a técnica de ataque Process Doppelgänging , você pode ler o artigo anterior que publicamos em 2017, e se quiser saber mais sobre várias versões do TxHollower loader, siga diretamente para a postagem do blog enSilo publicada hoje.


Via: AnonOfficial

Sobre

trabalho com segurança da informação a 13 anos, grande parte desse tempo como professor. Fiz meu bacharelado em ciência da computação, especialização em segurança da informação e logo após, mestrado em ciência da informação.

Nenhum comentário:

Postar um comentário

Start typing and press Enter to search