فعالیت‌ مخفیانه بد‌افزار‌های معروف به لطف تکنیک Process Doppelgänging

بررسی‌های جدید نشان می‌دهد که روش تزریق کد بدون فایل جدیدی با نام Process Doppelgänging توسط تعداد قابل توجهی از بد‌افزار‌ها مورد استفاده قرار می‌گیرد.

حمله Process Doppelgänging نخستین بار در سال 2017 شناخته شد که با سوءاستفاده از عملکرد داخلی ویندوز، خود را پنهان کرده و می‌توانست روی تمام نسخه‌های مدرن سیستم‌عامل ویندوز تاثیر بگذارد.

Process Doppelgänging از قابلیت (Transactional NTFS (TxF ویندوز استفاده می‌کند تا یک فرآیند مخرب را راه اندازی کند. این حمله با فریب دادن ابزار نظارت بر فرآیند و آنتی ویروس، به آنها این طور القا می‌کند که فرآیند مشروعی در حال اجرا است.

بعد از گذشت چند ماه از کشف این شیوه،‌ انواع مختلفی از بد‌افزار SynAck بهره برداری از تکنیک Process Doppelgänging را آغاز کرده و کاربران مستقر در ایالات متحده، کویت، آلمان و ایران را هدف قرار دادند.

مدتی بعد، پژوهشگران یک تروجان بانکی به نام Osiris را شناسایی کردند که از روش مشابهی برای حملات خود بهره می‌برد.

در حال حاضر،‌ نه تنها SynAck و Osiris، بلکه بیش از 20 نوع مختلف از خانواده‌های بد‌افزاری از جمله FormBook ،LokiBot ،SmokeLoader ،AZORult نیز از حمله Process Doppelgänging برای فعالیت‌های مخربشان استفاده می‌کنند.