especialistas da Microsoft falou sobre Dexphot malwares, que infectou mais de 80,000 máquinas

especialistas da Microsoft falou sobre o malware Dexphot, que tem estado a atacar máquinas Windows desde a queda do 2018. Em junho 2019, a actividade do malware atingiu o seu pico, quando mais de 80,000 sistemas tornaram-se vítimas da botnet.

Nespecialistas ow dizer que a actividade da Dexphot está em declínio, inclusive por causa das contramedidas que estão a tomar.

O principal objetivo do Dexphot tem sido sempre extração de criptomoeda e enriquecimento de seus operadores. Contudo, apesar objetivos bem comuns do malware, os pesquisadores observaram que os seus autores usaram técnicas sofisticadas, e o próprio mal não era tão simples. O fato é que muitas das técnicas utilizadas pelos criadores de vírus são mais provável de ser encontrado estudar o trabalho de “hackers do governo”, mas não apenas um outro mineiro.

“Dexphot foi uma carga de segundo nível, Isso é, infectou computadores já infectados com o malware ICLoader, que penetrou o sistema junto com vários pacotes de software, ou quando os usuários baixado e instalado cortado ou software pirateado”, – especialistas de segurança da informação dizer no Microsoft.

Curiosamente, o instalador Dexphot era a única parte do malware que foi escrito para o disco apenas por um curto período de tempo. Para outros arquivos e operações, Dexphot uma usados método de ataque fileless, Isso é, ele correu tudo apenas na memória do computador, fazendo a presença de malvari no sistema invisível para soluções antivírus clássicos que dependem de assinaturas.

Microsoft falou sobre Dexphot malwares
Dexphot cadeia ataque

Dexphot também utilizado o LOLbins (vida fora da terra) técnica para usar processos legítimos do Windows para executar código malicioso, ao invés de lançar seus próprios arquivos e processos executáveis. Por exemplo, de acordo com Microsoft, o malware msiexec.exe regularmente abusado, unzip.exe, rundll32.exe, schtasks.exe e powershell.exe. Usando esses processos para executar código malicioso, Dexphot realmente se torna indistinguível de outras aplicações locais que também usou esses utilitários para fazer o seu trabalho.

além do que, além do mais, Dexphot usaram uma técnica chamada polimorfismo.

“Operadores Dexphot mudou os nomes de arquivos e URLs utilizados no processo de infecção a cada 20-30 minutos. No momento em que as soluções antivírus detectado um padrão na cadeia de infecção Dexphot, a última foi mudando. Permitiu Dexphot ficar um passo à frente”, – Especialistas disseram que a Microsoft.

Desde nenhum malware vai ficar despercebido para sempre, desenvolvedores Dexphot ter tido o cuidado de mecanismo de uma presença estável no sistema. O malware utilizaram uma técnica chamada esvaziamento processo para lançar dois processos legítimos (svchost.exe e nslookup.exe), limpar seu conteúdo e executar códigos maliciosos sob seu disfarce. estes componentes, disfarçado como processos legítimos do Windows, a certeza de que todas as partes do malware foram instalado e funcionando, e reinstalar o malware se necessário.

Leia também: O especialista criou uma PoC exploit que ignora a proteção PatchGuard

Além disso, Dexphot uma usados série de tarefas agendadas (regularmente mudando seus nomes), para que a vítima foi re-infectados sem arquivo após cada reinicialização do sistema ou a cada 90 ou 110 minutos. Esta funcionalidade também tornou possível actualizar regularmente o malware em todos os hosts infectados. Depois de tudo, cada vez que uma das tarefas foi realizada, o arquivo foi baixado de um servidor do atacante, e eles poderiam fazer alterações nele.

Polina Lisovskaya

Trabalho como gerente de marketing há anos e adoro pesquisar tópicos interessantes para você

Deixe uma resposta

Botão Voltar ao Topo