Os pesquisadores de segurança descobriram uma nova técnica de injeção de processo que permite que os malwares evitem a detecção por soluções Endpoint Detection and Response (EDR).

A técnica, apelidada de “Mockingjay” pelo time de pesquisa da CyberArk, usa uma variante da injeção clássica de Process Hollowing para esconder atividades maliciosas, tornando-a quase indetectável.

A injeção de Process Hollowing é uma técnica popular usada por malwares para executar código malicioso no espaço de endereços de outro processo.

Isso é feito criando um processo em estado suspenso, substituindo seu conteúdo na memória com código malicioso e, em seguida, retomando a execução do processo.

No entanto, a técnica de Mockingjay melhora essa abordagem substituindo o código malicioso no espaço de endereços de um processo legítimo, mas depois substitui o processo por um novo processo que tem o mesmo ID de processo (PID).

Esse PID duplicado pode ser usado para enganar as soluções de EDR, que acreditam que o processo malicioso é, na verdade, o processo legítimo que inicialmente tinha o mesmo PID.

Os pesquisadores estão agora aconselhando os fabricantes de EDR a atualizarem suas soluções para detectar esta nova técnica de injeção de processo.