Carder.life - Криптовалютный майнер Dexphot заразил более 80 тыс. компьютеров

Dexphot активно использует техники полиморфизма и шифрование, чтобы избежать обнаружения.
https://www.securitylab.ru/upload/ib...5f30ccb40e.jpg
Эксперты из компании Microsoft https://www.microsoft.com/security/b...orphic-threat/об атаках криптовалютного майнера Dexphot, успевшего заразить уже более 80 тыс. компьютеров по всему миру. По словам специалистов, основной особенностью Dexphot является использование сложных техник для уклонения от обнаружения.
В ходе атак операторы Dexphot используют множество сложных методов для обхода защитных решений, в частности обфускацию, шифрование и использование случайных имен файлов для сокрытия процесса установки. Dexphot использует бесфайловые методы для запуска вредоносного кода непосредственно в памяти, оставляя лишь несколько следов, по которым его можно отследить.
Вредонос перехватывает легитимные системные процессы Windows (например, msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe и powershell.exe) для избежания обнаружения. В конечном счете Dexphot запускает майнер криптовалюты на устройстве вместе с сервисами мониторинга и запланированными задачами, инициирующими повторное заражение при попытке удалить вредоносное ПО.
Как отмечают исследователи, Dexphot является так называемой вторичной полезной нагрузкой — ПО, устанавливаемое на ранее зараженные устройства. В данном случае Dexphot устанавливался на компьютеры, уже зараженных вредоносом ICLoader и его вариантами. Для загрузки вредоносных модулей установщик использовал два URL-адреса, те же URL были задействованы для обеспечения персистентности, обновления вредоносного ПО и повторного заражения.
Dexphot активно использует полиморфизм и шифрование, чтобы избежать обнаружения. Полиморфные техники включают в себя часто меняющиеся идентифицируемые характеристики, такие как имена и типы файлов, ключи шифрования и другие артефакты.