Dexphot est l'une des dernières souches de logiciels malveillants polymorphes détectés par les chercheurs en sécurité. Le logiciel malveillant a attaqué presque 80,000 machines tout au long de l'année.
Des dizaines de Dexphot Infected milliers d'ordinateurs
Dexphot a d'abord été détectée en Octobre 2018, et il a été mis à jour plusieurs fois à un niveau qui analyse son code est devenu une tâche difficile. Le logiciel malveillant réapparu en Juin 2019, où elle a touché des dizaines de milliers de machines. Les attaques apaisées dans quelques semaines, et le logiciel malveillant a été vu moins de 10,000 ordinateurs quotidiens.
Selon les chercheurs de Microsoft, Dexphot utilisé diverses méthodes sophistiquées pour échapper à un logiciel de sécurité, telles que des couches d'obscurcissement, chiffrement, et les noms de fichiers aléatoires pour masquer le processus d'installation. Le logiciel malveillant a également utilisé des techniques de logiciels malveillants de fileless pour exécuter du code malveillant dans la mémoire, qui ne laisse presque aucune trace pour l'analyse médico-légale.
Dexphot également pris en otage des processus légitimes du système pour dissimuler une activité malveillante. Si pas arrêté, le logiciel malveillant a également couru un mineur sur le système crypto-monnaie compromis, des services de surveillance et les tâches planifiées de déclenchement réinfection lorsque les défenseurs tentent de supprimer les logiciels malveillants, Microsoft dit.
Parce que les logiciels malveillants sophistiqués comportement affiché, persistance, techniques de polymorphisme et fileless, le seul moyen de capture a été l'utilisation de la détection basée sur le comportement.
Les premiers stades de l'infection par ce Malware Dexphot étaient les suivants:
Un programme d'installation avec deux URL
Un fichier de package MSI téléchargé à partir de l'une des URL
Un mot de passe protégé par archive ZIP
Une DLL de chargeur, qui est extraite de l'archive
Un fichier de données crypté qui contient trois exécutables supplémentaires qui sont chargés dans les processus du système par l'intermédiaire de processus évidage
Polymorphisme de Dexphot
Le logiciel malveillant utilisé de multiples couches de polymorphisme dans les binaires il distribué. Certains des fichiers utilisés par les logiciels malveillants ont été mis à changer tous les 20-30 procès-verbal. L'exécutable MSI fourni par le malware contenu
Certains des fichiers déployés par Dexphot changerait tous les 20 ou 30 procès-verbal, ce qui rend difficile de suivre son activité. Livré comme un exécutable MSI, le paquet contenait une variété de fichiers qui étaient différents d'une infection à un autre.
«Les packages MSI comprennent généralement une version propre de unzip.exe, un mot de passe protégé fichier ZIP, et un fichier batch qui vérifie les produits antivirus installés. Cependant, le fichier batch n'est pas toujours présent, et les noms des fichiers ZIP et DLL Loader, ainsi que le mot de passe pour extraire le fichier ZIP, tout changement d'un paquet à l'autre,« Microsoft a déclaré.
Savais-tu? les logiciels malveillants polymorphes changera sa signature de virus à chaque fois qu'il se reproduit et contamine le fichier suivant. En faisant cela, le virus par le logiciel échapper à la détection AV. Dans 2016, les chercheurs Webroot ont analysé plus de 27 URL milliards, 600 millions de domaines, 4 milliards d'adresses IP, 20 Applications mobiles, 10 millions de capteurs connectés, et au moins 9 millions d'enregistrements de comportement de fichier. Dans 97% des cas d'infection, logiciel malveillant a été identifié comme polymorphes, ou unique au système.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: