Casa » Noticias » expertos de Microsoft hablaron de software malicioso Dexphot, que infectó a más de 80,000 máquinas

expertos de Microsoft hablaron de software malicioso Dexphot, que infectó a más de 80,000 máquinas

expertos de Microsoft hablado sobre el malware Dexphot, que ha estado atacando a las máquinas de Windows desde la caída de 2018. En junio 2019, la actividad del malware alcanzó su pico, cuando más de 80,000 Los sistemas se convirtieron en víctimas de la red de bots.

norteOW expertos dicen que la actividad de Dexphot está disminuyendo, incluyendo debido a las contramedidas que están tomando.

El objetivo principal de Dexphot siempre ha sido la extracción de criptomoneda y el enriquecimiento de sus operadores. sin embargo, a pesar objetivos bastante comunes del malware, los investigadores señalan que sus autores utilizan técnicas sofisticadas, y el daño en sí no era tan sencillo. El hecho es que muchas de las técnicas utilizadas por los creadores de virus son más probable que se encuentre el estudio de la obra de “hackers” del gobierno, pero no sólo otro minero.

“Dexphot era una carga útil de segundo nivel, Es decir, infectaba los ordenadores ya infectados con el malware ICLoader, que penetró el sistema, junto con diversos paquetes de software, o cuando los usuarios descargan e instalan hackeado o software pirata”, – especialistas en seguridad de la información decir en Microsoft.

Curiosamente, el instalador Dexphot era la única parte del malware que se escribe en el disco sólo por un corto período de tiempo. Para otros archivos y operaciones, Dexphot utilizado una método de ataque sin archivo, Es decir, se corrió todo solo en la memoria del ordenador, haciendo que la presencia de malvari en el sistema invisible para los antivirus clásicos que se basan en las firmas.

Microsoft habló sobre el malware Dexphot
cadena ataque Dexphot

Dexphot también utilizó la LOLbins (viviendo de la tierra) técnica a utilizar procesos legítimos de Windows para ejecutar código malicioso, en vez de lanzar sus propios archivos y procesos ejecutables. Por ejemplo, de acuerdo con Microsoft, el malware msiexec.exe regularmente abusado, unzip.exe, rundll32.exe, schtasks.exe y powershell.exe. El uso de estos procesos para ejecutar código malicioso, Dexphot realidad se vuelve indistinguible de otras aplicaciones locales que también se utiliza estas utilidades para hacer su trabajo.

LEER  Microsoft lista de aplicaciones legítimas peligrosos publicado

Adicionalmente, Dexphot utiliza una técnica llamada polimorfismo.

“Los operadores de Dexphot cambiaron los nombres de los archivos y URLs utilizadas en el proceso de infección cada 20-30 minutos. En el momento en soluciones antivirus detectan un patrón en la cadena de infección Dexphot, este último estaba cambiando. Permitió estancia Dexphot un paso por delante”, – Los expertos dicen que Microsoft.

Dado que ningún malware pasar inadvertido para siempre, Dexphot desarrolladores han hecho cargo de la mecanismo de una presencia estable en el sistema de. El malware utiliza una técnica llamada vaciamiento proceso de poner en marcha dos procesos legítimos (svchost.exe y nslookup.exe), limpiar su contenido y ejecutar código malicioso bajo su apariencia. estos componentes, disfrazado de procesos legítimos de Windows, Se aseguraron de que todas las partes del software malicioso se puso en funcionamiento, y volver a instalar el software malicioso si es necesario.

leer también: El experto creó una PoC explotar que no pasa por la protección PatchGuard

Adicionalmente, Dexphot utilizado una serie de tareas programadas (cambiar regularmente sus nombres), por lo que la víctima fue re-infectado sin el archivo después de cada reinicio del sistema o cada 90 o 110 minutos. Esta funcionalidad también hizo posible actualizar periódicamente el software malicioso en todos los hosts infectados. Después de todo, Se llevó a cabo cada vez que una de las tareas, descargo el archivo desde el servidor del atacante, y podrían hacer cambios en él.

[Total:0    Promedio:0/5]

Acerca de Trojan Killer

Trojan Killer llevar portátil en su dispositivo de memoria. Asegúrese de que usted es capaz de ayudar a su PC resistir cualquier amenaza cibernética donde quiera que vaya.

también puedes ver

Desinstalación Vmicsvc.exe CPU Miner Troya desde Windows 10

Un completamente nuevo, Realmente infección minero criptomoneda insegura ha sido descubierto por los investigadores de seguridad. el software malicioso, …

Cómo quitar IntelAudoService.exe (Instrucciones).

IntelAudoService.exe es un virus / troyano que utiliza el equipo infectado por el mío dinero electrónico (Zcash, moneda, …

Deja una respuesta