Badacze z Kaspersky Lab wykryli nowy wariant trojana ransomware o nazwie SynAck, który wykorzystuje technikę tworzenia sobowtórów procesów w celu obejścia ochrony antywirusowej poprzez ukrywanie się w legalnych zasobach. Jest to pierwszy znany przypadek wykorzystania tej techniki w szkodliwym kodzie dystrybuowanym w internecie. Twórcy SynAck stosują również inne sztuczki w celu uniknięcia wykrycia i analizy.

Oprogramowanie ransomware SynAck znane jest od jesieni 2017 r. W grudniu jego celem byli głównie użytkownicy anglojęzyczni. Wykryty przez badaczy z Kaspersky Lab nowy wariant jest znacznie bardziej wyrafinowany.     

Technika tworzenia sobowtórów procesów (Process Doppelgänging), którą przedstawiono w grudniu 2017 r., polega na wstrzykiwaniu kodu bezplikowego, który wykorzystuje wbudowaną funkcję systemu Windows oraz nieudokumentowaną implementację modułu ładującego procesy w tym systemie operacyjnym. Poprzez manipulowanie sposobem obsługiwania transakcji plików przez system Windows atakujący mogą sprawić, aby niebezpieczne działania wyglądały na nieszkodliwe, legalne procesy, nawet jeśli wykorzystują znany szkodliwy kod. Omawiana technika nie pozostawia żadnego widocznego śladu, przez co tego rodzaju ingerencja jest niezwykle trudna do wykrycia. Jest to pierwsze oprogramowanie ransomware zaobserwowane na wolności, które wykorzystuje tę technikę.          

Inne istotne cechy nowej wersji trojana SynAck:

  • W przeciwieństwie do większości programów ransomware, które pakują swój kod wykonywalny, trojan zaciemnia go, utrudniając badaczom odtworzenie i analizę szkodliwego kodu.
  • Szkodnik zaciemnia również odsyłacze do niezbędnej funkcji API i zamiast właściwych ciągów przechowuje ich skróty. 
  • Po instalacji trojan sprawdza katalog, z którego uruchamiany jest jego plik wykonywalny, i jeśli zauważy próbę uruchomienia go z „niewłaściwego” katalogu – takiego jak potencjalna zautomatyzowana piaskownica wykorzystywana przez analityka – kończy działanie.
  • Szkodnik kończy również działanie bez wykonania, jeśli na klawiaturze komputera ofiary ustawiono stosowanie cyrylicy.
  • Przed zaszyfrowaniem plików na urządzeniu ofiary SynAck porównuje skróty wszystkich uruchomionych procesów i usług z własną zakodowaną na stałe listą. Jeśli znajdzie dopasowanie, próbuje zakończyć proces. Zablokowane w ten sposób procesy dotyczą maszyn wirtualnych, aplikacji biurowych, interpreterów skryptów, aplikacji baz danych, systemów zapasowych, gier i innych – prawdopodobnie w celu ułatwienia przechwycenia cennych plików, które w przeciwnym razie mogłyby zostać zablokowane w uruchomionych procesach.   
  • Ransomware SynAck może dodawać niestandardowy tekst do ekranu logowania Windows. Robi to, modyfikując klucze LegalNoticeCaption i LegalNoticeText w rejestrze. W rezultacie, zanim użytkownik zaloguje się na swoje konto, system Windows wyświetli wiadomość od cyberprzestępców:

Ransomware SynAck blokada ekranu logowania

Badacze uważają, że ataki z użyciem nowej wersji szkodnika SynAck są ściśle ukierunkowane. Jak dotąd zaobserwowano ograniczoną liczbę ataków w Stanach Zjednoczonych, Kuwejcie, Niemczech i Iranie, w których żądano okupu w wysokości 3 tys. dolarów amerykańskich.  

Więcej informacji na temat najnowszej wersji trojana SynAck znajduje się na tej stronie.

AUTOR:

Piotr Kupczyk

Podziel się

Dodaj komentarz