Dexphot: ciber amenaza fantasma
icrosoft ha sacado a la luz pública una nueva amenaza que ha detectado desde el pasado mes de junio con hasta 80,000 equipos infectados por todo el mundo. Se trata de una botnet de minado de criptodivisas, llamada Dexphot.
Dexphot intenta instalar su software de minado que roba silenciosamente recursos informáticos, generando así jugosos ingresos para los atacantes.
Pero lo que hace interesante a Dexphot es su nivel de complejidad para evitar ser detectado: hace uso de técnicas polimórficas, de tecnología de ejecución sin archivos (fileless) y de mecanismos inteligentes de persistencia en arranque, además de que es capaz de programar tareas en el sistema para poder seguir ejecutando sus ataques incluso aunque Windows Defender lo haya eliminado.
Dexphot no se autorreplica, para propagarse utiliza un segundo malware llamado “ICLoader“; este malware suele venir “integrado” en software pirata.
La única parte de “ICLoader” que llega a escribirse en el disco del equipo afectado es el propio archivo de instalación de Dexphot, e incluso éste lo hace durante un corto período de tiempo.
Dexphot distribuye una serie de archivos binarios y utiliza técnicas que se basan en procesos legítimos de Windows. La infección comienza cuando el instalador descarga el paquete MSI de las dos URL integradas y luego usa msiexec.exe para realizar una instalación silenciosa. Posteriormente comprueba si hay algún antivirus instalado. En caso afirmativo, detiene su instalación. Si no encuentra ningún antivirus, descomprime el archivo ZIP que viene protegido con contraseña que contiene los archivos necesarios para llevar a cabo el ataque.
La principal técnica de ocultación de Dexphot es el llamado polimorfismo, que le permite pasar inadvertido cambiando en plazos de 20-30 minutos, modificando tanto las URL como los nombres de archivo que utiliza.
Como de costumbre, SciLabs recomienda no realizar descargas desde sitios no confiables u oficiales, así como evitar el uso de software pirata. Además, es necesario siempre contar con las últimas actualizaciones del sistema operativo y demás software de seguridad que usemos.
Fuente:
