Casa » Notícia » especialistas da Microsoft falou sobre Dexphot malwares, que infectou mais de 80,000 máquinas

especialistas da Microsoft falou sobre Dexphot malwares, que infectou mais de 80,000 máquinas

especialistas da Microsoft falou sobre o malware Dexphot, que tem estado a atacar máquinas Windows desde a queda do 2018. Em junho 2019, a actividade do malware atingiu o seu pico, quando mais de 80,000 sistemas tornaram-se vítimas da botnet.

Nespecialistas ow dizer que a actividade da Dexphot está em declínio, inclusive por causa das contramedidas que estão a tomar.

O principal objetivo do Dexphot tem sido sempre extração de criptomoeda e enriquecimento de seus operadores. Contudo, apesar objetivos bem comuns do malware, os pesquisadores observaram que os seus autores usaram técnicas sofisticadas, e o próprio mal não era tão simples. O fato é que muitas das técnicas utilizadas pelos criadores de vírus são mais provável de ser encontrado estudar o trabalho de “hackers do governo”, mas não apenas um outro mineiro.

“Dexphot foi uma carga de segundo nível, Isso é, infectou computadores já infectados com o malware ICLoader, que penetrou o sistema junto com vários pacotes de software, ou quando os usuários baixado e instalado cortado ou software pirateado”, – especialistas de segurança da informação dizer no Microsoft.

Curiosamente, o instalador Dexphot era a única parte do malware que foi escrito para o disco apenas por um curto período de tempo. Para outros arquivos e operações, Dexphot uma usados método de ataque fileless, Isso é, ele correu tudo apenas na memória do computador, fazendo a presença de malvari no sistema invisível para soluções antivírus clássicos que dependem de assinaturas.

Microsoft falou sobre Dexphot malwares
Dexphot cadeia ataque

Dexphot também utilizado o LOLbins (vida fora da terra) técnica para usar processos legítimos do Windows para executar código malicioso, ao invés de lançar seus próprios arquivos e processos executáveis. Por exemplo, de acordo com Microsoft, o malware msiexec.exe regularmente abusado, unzip.exe, rundll32.exe, schtasks.exe e powershell.exe. Usando esses processos para executar código malicioso, Dexphot realmente se torna indistinguível de outras aplicações locais que também usou esses utilitários para fazer o seu trabalho.

LER  Linux verme infecta instalações Azure através vulnerabilidade Exim

além do que, além do mais, Dexphot usaram uma técnica chamada polimorfismo.

“Operadores Dexphot mudou os nomes de arquivos e URLs utilizados no processo de infecção a cada 20-30 minutos. No momento em que as soluções antivírus detectado um padrão na cadeia de infecção Dexphot, a última foi mudando. Permitiu Dexphot ficar um passo à frente”, – Especialistas disseram que a Microsoft.

Desde nenhum malware vai ficar despercebido para sempre, desenvolvedores Dexphot ter tido o cuidado de mecanismo de uma presença estável no sistema. O malware utilizaram uma técnica chamada esvaziamento processo para lançar dois processos legítimos (svchost.exe e nslookup.exe), limpar seu conteúdo e executar códigos maliciosos sob seu disfarce. estes componentes, disfarçado como processos legítimos do Windows, a certeza de que todas as partes do malware foram instalado e funcionando, e reinstalar o malware se necessário.

Leia também: O especialista criou uma PoC exploit que ignora a proteção PatchGuard

Além disso, Dexphot uma usados série de tarefas agendadas (regularmente mudando seus nomes), para que a vítima foi re-infectados sem arquivo após cada reinicialização do sistema ou a cada 90 ou 110 minutos. Esta funcionalidade também tornou possível actualizar regularmente o malware em todos os hosts infectados. Depois de tudo, cada vez que uma das tarefas foi realizada, o arquivo foi baixado de um servidor do atacante, e eles poderiam fazer alterações nele.

[Total: 0    Média: 0/5]

Sobre Trojan Killer

Carry Trojan Killer portátil em seu memory stick. Certifique-se que você é capaz de ajudar o seu PC resistir a quaisquer ameaças cibernéticas onde quer que vá.

Além disso, verifique

Desinstalar Vmicsvc.exe CPU Miner Trojan do Windows 10

Um novo em folha, realmente infecção mineiro criptomoeda inseguro foi descoberto por pesquisadores de segurança. o malware, …

Como remover IntelAudoService.exe (instruções).

IntelAudoService.exe é um vírus / trojan que usa o computador infectado para o meu dinheiro electrónico (Zcash, moeda, …

Deixar uma resposta