Dexphot é uma das mais recentes variantes de malware polimórfico detectado por pesquisadores de segurança. O malware atacou quase 80,000 máquinas ao longo do ano.
Dexphot Dezenas infectados de milhares de computadores
Dexphot foi detectado pela primeira vez em Outubro 2018, e foi atualizado várias vezes para um nível que analisar seu código tornou-se uma tarefa desafiadora. A re-apareceu malwares em junho 2019, quando isso afetou dezenas de milhares de máquinas. Os ataques abrandado em um par de semanas, e o malware foi visto em menos de 10,000 computadores diárias.
De acordo com pesquisadores da Microsoft, Dexphot utilizados vários métodos sofisticados para fugir software de segurança, tais como camadas de ofuscação, criptografia, e nomes de arquivos aleatórios para esconder o processo de instalação. O malware também usou técnicas fileless de malware para executar código malicioso na memória, o que deixa quase sem vestígios para a análise forense.
Dexphot também sequestrado processos do sistema legítimos para disfarçar a atividade maliciosa. Se não parou, o malware também correu um mineiro criptomoeda no sistema comprometido, com monitoramento de serviços e tarefas agendadas desencadeantes re-infecção quando defensores tentar remover o malware, Microsoft disse.
Porque o malware exibido comportamento sofisticado, persistência, técnicas de Polimorfismo e fileless, a única maneira de captura foi o uso de detecção à base de comportamento.
Os estágios iniciais da infecção por malware Dexphot consistiu no seguinte:
Um instalador com dois URLs
Um arquivo de pacote MSI baixado de um dos URLs
Um arquivo ZIP protegido por senha
A DLL loader, que é extraído a partir do arquivo
Um ficheiro de dados encriptados que contém três executáveis adicionais que são carregados em processos do sistema através de esvaziamento processo
Polimorfismo de Dexphot
O malware usadas várias camadas de polimorfismo nos binários distribuiu. Alguns dos arquivos utilizados pelo malware foram definidos para mudar a cada 20-30 minutos. O executável MSI entregues pelo malware contido
Alguns dos arquivos implantados por Dexphot mudaria todos os 20 ou 30 minutos, tornando-se difícil de controlar sua atividade. Fornecido como um executável MSI, o pacote continha uma variedade de arquivos que eram diferentes de uma infecção para outro.
“Os pacotes MSI geralmente incluem uma versão limpa do unzip.exe, um arquivo ZIP protegido por senha, e um arquivo em lotes que verifica a existência de produtos antivírus instalados atualmente. Contudo, o arquivo de lote não está sempre presente, e os nomes dos arquivos ZIP e carregador DLLs, bem como a senha para extrair o arquivo ZIP, toda a mudança de um pacote para a próxima,“Microsoft disse.
Você sabia? malwares polimórficos vai mudar sua assinatura de vírus cada vez que replica-se e infecta o próximo arquivo. Ao fazê-lo, o vírus irá escapar à detecção por software AV. No 2016, pesquisadores Webroot analisou mais de 27 bilhão de URLs, 600 milhões de domínios, 4 bilhões de endereços IP, 20 aplicações móveis, 10 milhão de sensores conectados, e pelo menos 9 milhões de registros de comportamento arquivo. No 97% dos casos de infecção, Ficheiro identificado como polimórfica, ou exclusivo para o sistema.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: