Dexphot активно использует техники полиморфизма и шифрование, чтобы избежать обнаружения.
Эксперты из компании Microsoft предупредили об атаках криптовалютного майнера Dexphot, успевшего заразить уже более 80 тыс. компьютеров по всему миру. По словам специалистов, основной особенностью Dexphot является использование сложных техник для уклонения от обнаружения.
В ходе атак операторы Dexphot используют множество сложных методов для обхода защитных решений, в частности обфускацию, шифрование и использование случайных имен файлов для сокрытия процесса установки. Dexphot использует бесфайловые методы для запуска вредоносного кода непосредственно в памяти, оставляя лишь несколько следов, по которым его можно отследить.
Вредонос перехватывает легитимные системные процессы Windows (например, msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe и powershell.exe) для избежания обнаружения. В конечном счете Dexphot запускает майнер криптовалюты на устройстве вместе с сервисами мониторинга и запланированными задачами, инициирующими повторное заражение при попытке удалить вредоносное ПО.
Как отмечают исследователи, Dexphot является так называемой вторичной полезной нагрузкой — ПО, устанавливаемое на ранее зараженные устройства. В данном случае Dexphot устанавливался на компьютеры, уже зараженных вредоносом ICLoader и его вариантами. Для загрузки вредоносных модулей установщик использовал два URL-адреса, те же URL были задействованы для обеспечения персистентности, обновления вредоносного ПО и повторного заражения.
Dexphot активно использует полиморфизм и шифрование, чтобы избежать обнаружения. Полиморфные техники включают в себя часто меняющиеся идентифицируемые характеристики, такие как имена и типы файлов, ключи шифрования и другие артефакты.