WastedLocker peut désormais contourner les détections comportementales dans les logiciels anti-malware
Un aspect important des logiciels anti-malware basés sur le comportement consiste à identifier et à empêcher les opérations séquentielles fréquentes sur les fichiers, telles que l'ouverture, la modification et la fermeture rapides des fichiers ouverts par des applications externes. Le ransomware WastedLocker utilise désormais des techniques avancées pour contourner les outils anti-malware basés sur le comportement en exploitant les fonctionnalités de gestion de la mémoire Windows.
Une séquence de manœuvres pour échapper à la détection
WastedLocker abuse de la procédure de fonctionnement interne de la mémoire cache Windows. En effet, le malware utilise des techniques spécifiques pour masquer son code et effectuer certaines tâches qui reflètent les sous-programmes. De plus, il déplace les fichiers vers la mémoire cache de Windows, procède au chiffrement des données, puis les réécrit dans l'emplacement de mémoire d'origine. Cela donne l'impression que seuls les processus système autorisés modifient les fichiers, évitant ainsi de soupçonner des solutions anti-malware basées sur le comportement.
De la virgilance et des mises à jour
Les attaques de WastedLocker sont devenues plus fréquentes ces derniers temps. En regardant les améliorations apportées par ses développeurs, il serait prudent de dire que ces types d'attaques ne feront que croître dans un proche avenir. Par mesure de précaution, les fournisseurs de services de sécurité doivent immédiatement déployer des mises à jour de code cruciales aux utilisateurs pour corriger les vulnérabilités identifiées.