La técnica de inyección de código sin archivos llamada Proceso de doble acristalamiento está siendo utilizado activamente no solo por una o dos, sino por una gran cantidad de familias de malware en la naturaleza, reveló un nuevo informe compartido con The Hacker News.
Descubierto a finales de 2017, Process Doppelgänging es una variación sin archivos de la técnica de inyección de procesos que aprovecha una función integrada de Windows para evadir la detección y funciona en todas las versiones modernas del sistema operativo Microsoft Windows.
El ataque Process Doppelgänging funciona utilizando una característica de Windows llamada Transactional NTFS (TxF) para iniciar un proceso malicioso reemplazando la memoria de un proceso legítimo, engañando a las herramientas de monitoreo de procesos y al antivirus para que crean que el proceso legítimo se está ejecutando.
Pocos meses después de la divulgación de esta técnica, una variante del ransomware SynAck se convirtió en el primer malware que explota la técnica Process Doppelgänging, dirigido a usuarios en los Estados Unidos, Kuwait, Alemania e Irán.
Poco después, los investigadores descubrieron un cuentagotas (cargador) para el troyano bancario Osiris que también usaba esta técnica en combinación con una técnica de evasión de malware similar descubierta anteriormente llamada Process Hollowing.
Ahora, resulta que no fue solo SynAck u Osiris, sino más de 20 familias de malware diferentes, incluidos FormBook, LokiBot, SmokeLoader, AZORult, NetWire, njRat, Pony Stealer y GandCrab ransomware, que han estado usando cargadores de malware que aprovechan este híbrido. implementación del ataque Process Doppelgänging para evadir la detección.
Después de analizar cientos de muestras de malware, los investigadores de seguridad de enSilo descubrieron al menos siete versiones distintas de dicho cargador, que llamaron «txhueco«utilizado por varios autores de malware.
«Se sabe que los atacantes reutilizan recursos y herramientas en sus cadenas de ataque, los más notables son los droppers, packers y loaders. Destaca que los componentes y el código compartidos hacen que el seguimiento y la atribución de varios grupos sea aún más complicado», dijeron los investigadores.
Los investigadores creen que los cargadores TxHollower están disponibles para los ciberdelincuentes a través de algún marco ofensivo o kit de explotación, lo que eventualmente aumenta el uso de técnicas de proceso similares a las de doppelgänging en estado salvaje.
La primera muestra del cargador con la función TxHollower se usó en marzo de 2018 para distribuir Netwire RAT, y luego también se encontró incluido con varias versiones de GandCrab, comenzando con v5 y llegando hasta v5.2.
Además de esto, los investigadores de enSilo también encontraron algunas muestras envueltas en una capa adicional, como archivos MSI y, en algunos casos, los cargadores estaban anidados entre sí.
«Si bien no observamos las infecciones reales, pudimos encontrar algunas muestras que sospechamos que están relacionadas con la cadena de infección, como descargadores y cuentagotas de TxHollower. El tipo de archivos incluye ejecutables PE, JavaScript y documentos», dijeron los investigadores. dijo.
Para obtener más información sobre cómo funciona la técnica de ataque Process Doppelgänging, puede leer el artículo anterior que publicamos en 2017, y si desea obtener más información sobre las distintas versiones del cargador TxHollower, puede dirigirse directamente a la publicación del blog enSilo publicada hoy.
