Dexphot es uno de los últimos ejemplares de malware polimórfico detectados por los investigadores de seguridad. El software malicioso atacó casi 80,000 máquinas durante todo el año.
Decenas Dexphot infectados de miles de ordenadores
Dexphot se detectó por primera vez en octubre 2018, y se ha mejorado varias veces a un nivel que el análisis de su código se convirtió en una tarea desafiante. La re-aparecido en junio de malware 2019, cuando afecta a decenas de miles de máquinas. Los ataques amainado en un par de semanas, y el malware fue visto con menos de 10,000 computadoras diarias.
De acuerdo con investigadores de Microsoft, Dexphot utilizado varios métodos sofisticados para evadir el software de seguridad, tales como capas de ofuscación, cifrado, y los nombres de archivo aleatorios para ocultar el proceso de instalación. El malware también ha utilizado técnicas de malware sin archivo para ejecutar código malicioso en la memoria, que deja casi ningún rastro para el análisis forense.
Dexphot también secuestrado procesos del sistema legítimos para disfrazar actividad maliciosa. Si no se detiene, el malware también corrió un minero criptomoneda en el sistema comprometido, con el seguimiento de los servicios y las tareas programadas que desencadenan la reinfección cuando los defensores intentan eliminar el malware, Microsoft dijo.
Debido a que el malware se muestra el comportamiento sofisticado, persistencia, técnicas de polimorfismo y sin archivo, la única forma de captura fue el uso de la detección basada en el comportamiento.
Las primeras etapas de la infección de malware Dexphot consistió en lo siguiente:
Un instalador con dos direcciones URL
Un archivo del paquete MSI descargado desde una de las URL
Un archivo ZIP protegido por contraseña
Un cargador de DLL, que se extrae desde el archivo
Un archivo de datos encriptados que sostiene tres ejecutables adicionales que se cargan en los procesos del sistema a través de ahuecamiento proceso
El polimorfismo de Dexphot
El malware utilizado múltiples capas de polimorfismo en los binarios que distribuye. Algunos de los archivos utilizados por el software malicioso se establecieron a cambiar cada 20-30 acta. El ejecutable de MSI entregado por el malware contenía
Algunos de los archivos desplegados por Dexphot cambiaría cada 20 o 30 acta, lo que hace difícil realizar un seguimiento de su actividad. Se entrega como un ejecutable MSI, el paquete contenía una variedad de archivos que eran diferentes de una infección a otra.
“Los paquetes MSI generalmente incluyen una versión limpia del unzip.exe, un archivo ZIP protegido por contraseña, y un archivo por lotes que los controles de los productos antivirus instalados actualmente. Sin embargo, el archivo por lotes no siempre está presente, y los nombres de los archivos ZIP y cargador de DLL, así como la contraseña para extraer el archivo ZIP, todo cambio de un paquete a la siguiente,“Dijo Microsoft.
Sabías? el malware polimórfico cambiará su firma de virus cada vez que se replica a sí mismo e infecta el siguiente archivo. Al hacerlo, el virus evadir la detección por el software de AV. En 2016, los investigadores analizaron más de Webroot 27 mil millones de direcciones URL, 600 millones de dominios, 4 mil millones de direcciones IP, 20 aplicaciones móviles, 10 millones de sensores conectados, y al menos 9 millón de registros de comportamiento de archivos. En 97% de los casos de infección, malware ha sido identificado como polimórfico, o única para el sistema.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: