Un grupo de investigadores de seguridad ha descubierto una técnica de evasión de malware que permitiría a los creadores de software peligrosos a superar la mayoría de soluciones antivirus que existen en la actualidad en los sistemas Windows. Las conclusiones sobre esta técnica fueron presentadas por los investigadores en la conferencia de seguridad Black Hat 2017 de Londres.

Este proceso, dado a conocer como Doppelgänging, se trata de una nueva técnica que se aprovecha de una función de Windows y del cargador de procesos del sistema. Dicho proceso funciona en todas las versiones más recientes de Windows, desde Windows Vista hasta la última versión, Windows 10.

El jefe del equipo de investigación, Tal Liberman, afirmó que esta técnica de evasión de malware es similar a “Process Hollowing”, el cual es un método que fue descubierto hace unos años y que empleaban los atacantes para derrotar a los softwares de seguridad. En este método, los atacantes reemplazaban la memoria de un proceso legitimo por un código malicioso para que este se ejecute en lugar del proceso original, lo que le permitía engañar a herramientas de escaneado de procesos y antivirus y que así crean que el proceso que se está ejecutando es el original.

Si bien todos los antivirus y suites de seguridad han sido actualizados para que puedan detectar los ataques Process Hollowing, ya esta técnica no se emplea, sin embargo, el actual proceso Doppelgänging funciona de una manera diferente pero logra lo mismo, ya que hace uso de “Windows NTFS Transactions” y de una implementación anticuada del gestor de procesos del sistema de Microsoft que fue diseñado para Windows XP, pero que lo siguen llevando todas las versiones posteriores del software hasta nuestros días.

El funcionamiento de este nuevo ataque para Windows es bastante complejo, primeramente, procesa un ejecutable legítimo y luego lo sobrescribe con un archivo malicioso, seguidamente crea una sección de memoria desde el archivo malicioso y elimina todos los cambios que se realicen en el ejecutable legítimo. Luego, crea un proceso con la sección de memoria generada que contiene el código malicioso y de esta forma logra ser invisible a herramientas de seguridad como Windows Defender, Kaspersky Labs, ESET NOD32, Symantec, Trend Micro, Avast, McAfee, AVG o Panda.