Le tout premier rançongiciel découvert utilisant l’attaque ’Process Doppelgänging’ pour éviter la détection

Des chercheurs en sécurité ont repéré le tout premier ransomware exploitant Process Doppelgänging , une nouvelle technique d’injection de code sans fichier qui pourrait aider les programmes malveillants à échapper à la détection.

L’ attaque Process Doppelgänging tire parti d’une fonction Windows intégrée, à savoir NTFS Transactions, et d’une implémentation obsolète du chargeur de processus Windows, et fonctionne sur toutes les versions modernes de Microsoft Windows, y compris Windows 10.

L’attaque Doppelgänging fonctionne en utilisant NTFS transactions pour lancer un processus malveillant en remplaçant la mémoire d’un processus légitime, en incitant les outils de surveillance des processus et antivirus à croire que le processus légitime est en cours d’exécution.

Si vous voulez en savoir plus sur la façon dont l’attaque de Process Doppelgänging fonctionne en détail, vous devriez lire cet article que j’ai publié à la fin de l’année dernière.

Peu de temps après que les détails de l’attaque de Process Doppelgänging aient été rendus publics, plusieurs acteurs de la menace ont été trouvés en train d’en abuser afin de contourner les solutions de sécurité modernes.

Les chercheurs en sécurité de Kaspersky Lab ont maintenant trouvé le premier ransomware, une nouvelle variante de SynAck, utilisant cette technique pour échapper à ses actions malveillantes et ciblant les utilisateurs aux États-Unis, au Koweït, en Allemagne et en Iran.

Initialement découvert en septembre 2017, le ransomware SynAck utilise des techniques d’obfuscation complexes pour empêcher le reverse engineering, mais les chercheurs ont réussi à le décompacter et à partager leur analyse dans un article de blog.

Une chose intéressante à propos de SynAck est que ce ransomware n’infecte pas les gens de certains pays, notamment la Russie, la Biélorussie, l’Ukraine, la Géorgie, le Tadjikistan, le Kazakhstan et l’Ouzbékistan.

Pour identifier le pays d’un utilisateur spécifique, le rançongiciel SynAck associe les dispositions de clavier installées sur le PC de l’utilisateur à une liste codée en dur stockée dans le logiciel malveillant. Si une correspondance est trouvée, le rançongiciel dort pendant 30 secondes puis appelle ExitProcess pour empêcher le chiffrement des fichiers.

SynAck ransomware empêche également l’analyse automatique du bac à sable en vérifiant le répertoire à partir duquel il s’exécute. S’il trouve une tentative de lancer l’exécutable malveillant à partir d’un répertoire ’incorrect’, SynAck n’ira pas plus loin et s’arrêtera à la place.

Une fois infecté, comme tous les autres rançongiciels, SynAck crypte le contenu de chaque fichier infecté avec l’algorithme AES-256-ECB et fournit aux victimes une clé de décryptage jusqu’à ce qu’ils contactent les attaquants et répondent à leurs demandes.

SynAck est également capable d’afficher une note ransomware à l’écran de connexion Windows en modifiant les clés LegalNoticeCaption et LegalNoticeText dans le registre. Le rançongiciel efface même les journaux d’événements stockés par le système pour éviter l’analyse médico-légale d’une machine infectée.

Bien que les chercheurs n’aient pas dit comment SynAck atterrit sur le PC, la plupart des ransomwares se propagent par le biais d’e-mails de phishing, d’annonces malveillantes sur des sites Web et d’applications et de programmes tiers.

Par conséquent, vous devez toujours faire preuve de prudence lors de l’ouverture de documents non invités envoyés par e-mail et en cliquant sur les liens à l’intérieur de ces documents sauf si vous vérifiez la source dans une tentative de protection contre une infection ransomware.

Bien que, dans ce cas, seuls quelques logiciels de sécurité et antivirus puissent vous défendre ou vous alerter contre la menace, il est toujours recommandé d’avoir une suite de sécurité antivirus efficace sur votre système et de la maintenir à jour.

Dernier point, mais non le moindre : pour maîtriser vos données précieuses, ayez toujours une routine de sauvegarde en place qui copie tous vos fichiers importants sur un périphérique de stockage externe qui n’est pas toujours connecté à votre PC.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 23 |

Actu en image