Dexphot è uno dei più recenti ceppi di malware polimorfico rilevato da ricercatori di sicurezza. Il malware ha attaccato quasi 80,000 macchine durante tutto l'anno.
Dexphot Decine infetti di migliaia di computer
Dexphot è stato rilevato nel mese di ottobre 2018, ed è stato aggiornato più volte ad un livello che analizza il suo codice è diventato un compito impegnativo. Il malware ri-apparso nel mese di giugno 2019, quando colpito decine di migliaia di macchine. Gli attacchi placata in un paio di settimane, e il malware è stato visto in meno di 10,000 computer quotidiane.
Secondo i ricercatori di Microsoft, Dexphot utilizzato vari metodi sofisticati per eludere il software di sicurezza, come strati di offuscamento, crittografia, e nomi di file randomizzati per nascondere il processo di installazione. Il malware ha usato anche tecniche fileless di malware per eseguire codice dannoso in memoria, che non lascia quasi nessuna traccia per l'analisi forense.
Dexphot anche dirottato processi di sistema legittimi per mascherare attività dannose. Se non si è fermato, il malware anche eseguito un minatore criptovaluta sul sistema compromesso, di monitorare i servizi e le attività pianificate scatenanti re-infezione, quando i difensori tentano di rimuovere il malware, Microsoft disse.
Poiché il malware visualizzata comportamento sofisticato, persistenza, tecniche di polimorfismo e fileless, l'unico modo per catturare era l'uso di rilevamento basata sul comportamento.
Le prime fasi della infezione da malware Dexphot si analizzano come segue:
Un programma di installazione con due URL
Un file del pacchetto MSI scaricato da uno degli URL
Un archivio ZIP protetto da password
Un DLL loader, che è estratto dall'archivio
Un file dati crittografati che contiene tre eseguibili aggiuntivi che vengono caricati in processi di sistema tramite svuotamento processo
Il polimorfismo del Dexphot
Il malware utilizzato più livelli di polimorfismo nei binari essa distribuito. Alcuni dei file utilizzati dal malware sono stati fissati a cambiare ogni 20-30 verbale. L'eseguibile MSI consegnato dal malware conteneva
Alcuni dei file distribuiti da Dexphot cambierebbe ogni 20 o 30 verbale, il che rende difficile rintracciare la sua attività. Fornito come un eseguibile MSI, il pacchetto conteneva una varietà di file che erano differenti da un infezione ad un altro.
“I pacchetti MSI generalmente includono una versione pulita di unzip.exe, un file ZIP protetto da password, e un file batch che verifica la presenza di prodotti antivirus attualmente installati. Tuttavia, il file batch non è sempre presente, e i nomi dei file ZIP e caricatore DLL, così come la password per estrarre il file ZIP, tutti i cambiamenti da un pacchetto per il prossimo,“, Ha detto Microsoft.
Lo sapevate? il malware polimorfico cambierà la sua firma dei virus ogni volta che si replica e infetta il file successivo. Così facendo, il virus eludere il rilevamento da parte del software AV. In 2016, ricercatori Webroot analizzato più di 27 miliardi di URL, 600 milioni di domini, 4 miliardi di indirizzi IP, 20 applicazioni mobili, 10 milioni di sensori collegati, e almeno 9 milione di record di comportamento del file. In 97% dei casi di infezione, Il malware è stato identificato come polimorfica, o unico al sistema.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: