• TECNOVAN LATAM es ciberseguridad en Latinoamérica.
Linkedin X-twitter Facebook Youtube

Microsoft dice que el nuevo malware Dexphot infectó más de 80,000 computadoras

El objetivo principal de Dexphot era minar en silencio la criptomoneda y generar ingresos para los atacantes.

Los ingenieros de seguridad de Microsoft detallaron hoy una nueva cepa de malware que ha estado infectando computadoras con Windows desde octubre de 2018 para secuestrar sus recursos para extraer criptomonedas y generar ingresos para los atacantes.

Denominado Dexphot, este malware alcanzó su punto máximo a mediados de junio de este año, cuando su botnet llegó a casi 80,000 computadoras infectadas.

Desde entonces, la cantidad de infecciones diarias ha disminuido lentamente, ya que Microsoft afirma que implementó contramedidas para mejorar las detecciones y detener los ataques.

UNA CEPA DE MALWARE COMPLEJA PARA UNA TAREA MUNDANA

Pero aunque el objetivo final de Doxphot era banal, los métodos y técnicas para su modus operandi se destacaron debido a su alto nivel de complejidad, algo que Microsoft también notó.

“Dexphot no es el tipo de ataque que genera la atención de los medios de comunicación”, dijo Hazel Kim, analista de malware del Equipo de Investigación ATP de Microsoft Defender, refiriéndose a la tarea mundana del malware de extraer criptomonedas, en lugar de robar datos de los usuarios.

“Es una de las innumerables campañas de malware que están activas en un momento dado. Su objetivo es muy común en los círculos cibercriminales: instalar un minero de monedas que robe silenciosamente recursos informáticos y genere ingresos para los atacantes”, dijo Kim.

“Sin embargo, Dexphot ejemplifica el nivel de complejidad y la tasa de evolución de incluso las amenazas cotidianas, con la intención de evadir las protecciones y motivado a pasar desapercibido en busca de ganancias”.

En un informe compartido con ZDNet que se lanzará más tarde hoy, Kim detalla las técnicas avanzadas de Dexphot, como el uso de ejecución sin archivos , técnicas polimórficas y mecanismos de persistencia de arranque inteligentes y redundantes.

PROCESO DE INFECCIÓN

Según Microsoft, Dexphot es lo que los investigadores de seguridad llaman una carga útil de la segunda etapa, un tipo de malware que se deja caer en los sistemas que ya están infectados por otro malware.

En este caso, Dexphot se estaba colocando en computadoras que previamente estaban infectadas con ICLoader , una variedad de malware que generalmente se instala como parte de paquetes de software, sin el conocimiento del usuario, o cuando los usuarios descargan e instalan software pirateado o pirateado.

En algunos de estos sistemas infectados por ICLoader, la pandilla ICLoader descargará y ejecutará el instalador Dexphot.

Microsoft dice que este instalador sería la única parte del malware Dexphot que se escribiría en el disco, pero solo por un corto período de tiempo. Cualquier otro archivo u operación de Dexphot usaría una técnica conocida como ejecución sin archivos para ejecutarse solo dentro de la memoria de la computadora, haciendo que la presencia del malware en un sistema sea invisible para las soluciones antivirus clásicas basadas en firmas.

Además, Dexphot también emplearía una técnica llamada “vivir de la tierra” (o LOLbins) para (ab) usar procesos legítimos de Windows para ejecutar código malicioso, en lugar de ejecutar sus propios ejecutables y procesos.

Por ejemplo, Microsoft dice que Dexphot abusaría regularmente de msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe y powershell.exe, todas las aplicaciones legítimas que vienen preinstaladas en los sistemas Windows. Al utilizar estos procesos para iniciar y ejecutar código malicioso, Dexphot se volvió indistinguible de otras aplicaciones locales que también usaban estas utilidades de Windows para hacer su trabajo.

dexphot-modus-operandi.png
Imagen: Microsoft

Pero los operadores de Dexphot no se detuvieron aquí. Debido a que en los últimos años los productos antivirus han estado utilizando sistemas basados ​​en la nube para inventariar y centralizar patrones de ejecución maliciosa sin archivos y abuso de LOLbins, Dexphot también empleó una técnica llamada polimorfismo.

Esta técnica se refiere al malware que cambia constantemente sus artefactos. Según Microsoft, los operadores de Dexphot cambiaron los nombres de archivo y las URL utilizadas en el proceso de infección una vez cada 20-30 minutos.

Para cuando un proveedor de antivirus detecte un patrón en la cadena de infección de Dexphot, ese patrón cambiará y permitirá que la pandilla Dexphot se mantenga un paso por delante de los productos de seguridad cibernética.

MECANISMOS DE PERSISTENCIA MULTICAPA

Pero ningún malware permanece sin ser detectado para siempre, e incluso en estos casos, la pandilla Dexphot había planeado con anticipación.

Microsoft dice que Dexphot viene con mecanismos inteligentes de persistencia que a menudo reinfectan los sistemas que no fueron limpiados de todos los artefactos del malware.

Para el primero, el malware utilizó una técnica llamada proceso de vaciado para iniciar dos procesos legítimos (svchost.exe y nslookup.exe), vaciar su contenido y ejecutar código malicioso desde ellos.

Disfrazados como procesos legítimos de Windows, estos dos componentes de Dexphot vigilarían que todos los componentes del malware estuvieran en funcionamiento y reinstalarían el malware si uno de ellos fuera detenido. Debido a que había dos procesos de “monitoreo”, incluso si los administradores del sistema o el software antivirus eliminaran uno, el segundo serviría como respaldo y volvería a infectar el sistema más adelante.

En segundo lugar, también funciona como una prueba de fallos, Dexphot también usó una serie de tareas programadas para asegurarse de que la víctima se reinfecta sin archivos después de cada reinicio, o una vez cada 90 o 110 minutos.

Debido a que las tareas estaban programadas para ejecutarse a intervalos regulares, también sirvieron como una forma para que la pandilla Dexphot entregara actualizaciones a todos los sistemas infectados.

Según Microsoft, cada vez que se ejecutaba una de estas tareas, descargaba un archivo del servidor de un atacante, lo que permitía al atacante modificar este archivo con instrucciones actualizadas para todos los hosts infectados por Dexphot y actualizar toda su botnet pocas horas después de que se implementara un proveedor de antivirus. cualquier contramedida

Además, Microsoft dice que el polimorfismo también se usó para estas tareas, con la pandilla Dexphot cambiando los nombres de las tareas a intervalos regulares. Este simple truco permitió que el malware eludiera cualquier lista de bloqueo que bloqueara las tareas programadas por sus nombres.

Como Kim señaló de Microsoft anteriormente, todas estas técnicas son terriblemente complicadas. Uno normalmente esperaría que este tipo de redundancias se encuentre en las cadenas de infección para malware desarrollado por unidades avanzadas de piratería respaldadas por el gobierno.

Sin embargo, en los últimos dos años, estas técnicas se han infiltrado lentamente en pandillas ciberdelincuentes, y ahora son bastante comunes en algo tan mundano como una operación minera de criptomonedas como Dexphot, infostealers como Astaroth o click- operaciones de fraude como Nodersok .