Descubierto a fines de 2017, Process Doppelgänging es una variación sin archivos de la técnica de inyección de proceso que aprovecha una función integrada de Windows para evadir la detección y funciona en todas las versiones modernas del sistema operativo Microsoft Windows.
El ataque de proceso Doppelgänging funciona al utilizar una función de Windows llamada Transactional NTFS (TxF) para iniciar un proceso malintencionado al reemplazar la memoria de un proceso legítimo, engañar a las herramientas de monitoreo de procesos y al antivirus para que crean que se está ejecutando el proceso legítimo.
Pocos meses después de la divulgación de esta técnica, una variante del ransomware SynAck seconvirtió en el primer malware que explota la técnica Process Doppelgänging, dirigida a usuarios en los Estados Unidos, Kuwait, Alemania e Irán.
Poco después, los investigadores descubrieron un cuentagotas (cargador) para el troyano bancario Osiris que también estaba usando esta técnica en combinación con una técnica similar de evasión de malware previamente descubierta llamada Process Hollowing.
Ahora, resulta que no era solo SynAck u Osiris, sino más de 20 familias diferentes de malware, incluidos FormBook , LokiBot , SmokeLoader , AZORult, NetWire, njRat , Pony stealer y GandCrab ransomware: ha estado utilizando cargadores de malware que aprovechan esta implementación híbrida del ataque Process Doppelgänging para evadir la detección.
Después de analizar cientos de muestras de malware, los investigadores de seguridad de enSilo descubrieron al menos siete versiones distintas de dicho cargador, que denominaron » TxHollower «, utilizado por varios autores de malware.
«Se sabe que los atacantes reutilizan recursos y herramientas en sus cadenas de ataque, los más notables son descargadores, empacadores y cargadores. Destaca que los componentes compartidos y el código hacen que el seguimiento y la atribución de varios grupos sean aún más complicados», dijeron los investigadores.
Los investigadores creen que los cargadores de TxHollower están disponibles para los ciberdelincuentes a través de un marco ofensivo o un kit de exploits, lo que eventualmente aumenta el uso de técnicas similares a las del proceso.
La muestra más temprana del cargador con la función TxHollower se usó en marzo de 2018 para distribuir Netwire RAT, y luego también se encontró con varias versiones de GandCrab , comenzando con v5 y llegando hasta v5.2.
Además de esto, los investigadores de enSilo también encontraron algunas muestras envueltas en una capa adicional, como archivos MSI y, en algunos casos, los cargadores estaban anidados entre sí.
«Si bien no observamos las infecciones reales, pudimos encontrar algunas muestras que sospechamos que están relacionadas con la cadena de infección, como los descargadores y goteros de TxHollower. El tipo de archivos incluye ejecutables de PE, JavaScript y documentos», señalaron los investigadores. dijo.
Para obtener más información sobre cómo funciona la técnica de ataque Process Doppelgänging , puede leer el artículo anterior que publicamos en 2017, y si desea obtener más información sobre varias versiones del cargador TxHollower, puede dirigirse directamente a la publicación del blog enSilo publicada hoy.
Fuente: thehackernews.com