فعالیت مخفیانه بدافزارهای معروف به لطف تکنیک Process Doppelgänging

بررسیهای جدید نشان میدهد که روش تزریق کد بدون فایل جدیدی با نام Process Doppelgänging توسط تعداد قابل توجهی از بدافزارها مورد استفاده قرار میگیرد.
حمله Process Doppelgänging نخستین بار در سال 2017 شناخته شد که با سوءاستفاده از عملکرد داخلی ویندوز، خود را پنهان کرده و میتوانست روی تمام نسخههای مدرن سیستمعامل ویندوز تاثیر بگذارد.
Process Doppelgänging از قابلیت (Transactional NTFS (TxF ویندوز استفاده میکند تا یک فرآیند مخرب را راه اندازی کند. این حمله با فریب دادن ابزار نظارت بر فرآیند و آنتی ویروس، به آنها این طور القا میکند که فرآیند مشروعی در حال اجرا است.
بعد از گذشت چند ماه از کشف این شیوه، انواع مختلفی از بدافزار SynAck بهره برداری از تکنیک Process Doppelgänging را آغاز کرده و کاربران مستقر در ایالات متحده، کویت، آلمان و ایران را هدف قرار دادند.
مدتی بعد، پژوهشگران یک تروجان بانکی به نام Osiris را شناسایی کردند که از روش مشابهی برای حملات خود بهره میبرد.
در حال حاضر، نه تنها SynAck و Osiris، بلکه بیش از 20 نوع مختلف از خانوادههای بدافزاری از جمله FormBook ،LokiBot ،SmokeLoader ،AZORult نیز از حمله Process Doppelgänging برای فعالیتهای مخربشان استفاده میکنند.