Specjaliści z firmy enSilo poinformowali o odkryciu nowego sposobu na uruchamianie złośliwego kodu w systemach Windows. Metoda, nazywana Process Doppelgänging polega na uruchamianiu nowego procesu podczas transakcji NTFS. Ponieważ pliki w tym czasie nie są sprawdzane przez programy antywirusowe, możliwe jest utworzenie procesu ze złośliwym kodem unikając wykrycia.

Rozwiązanie testowano na kilku systemach: Windows 7 SP1, Windows 8.1 oraz Windows 10. Ponadto użyto większości najpopularniejszych programów antywirusowych. Badaczom udało się uruchomić program szpiegujący Mimikatz.

Z uwagi na to, że opisana powyżej metoda wykorzystuje prawidłowo funkcjonujące narzędzia systemowe, ciężko spodziewać się poprawek. Szczęśliwie jest ona na tyle trudna do wykorzystania, że może zająć hakerom dużo czasu przygotowanie odpowiednich exploitów.