Эксперты Microsoft рассказали о малвари Dexphot, которая атакует Windows-машины с осени 2018 года. Так, в июне 2019 года активность вредоноса достигла пиковой точки, когда жертвами ботнета стали более 80 000 систем. Но теперь специалисты отмечают, что активность Dexphot снижается, в том числе и благодаря предпринимаемым ими контрмерам.

Основной целью Dexphot всегда была добыча криптовалюты и обогащение своих операторов. Но, несмотря на некоторую заурядность целей малвари, исследователи отмечают, что ее авторы применяли сложные техники, да и сам вредонс оказался не таким уж простым. Дело в том, что многие использованные вирусописателями техники скорее можно встретить, изучая работу «правительственных хакеров», но не очередной майнер.

Dexphot представлял собой пейлоад второго уровня, то есть заражал компьютеры, уже инфицированные малварью ICLoader, которая проникала в систему вместе с различными пакетами софта, или когда пользователи загружали и устанавливали взломанное или пиратское ПО.

Интересно, что установщик Dexphot был единственной частью малвари, которая записывалась на диск и лишь на короткий период времени. Для прочих файлов и операций Dexphot использовал бесфайловый метод атак, то есть запускал все только в памяти компьютера, делая присутствие малвари в системе невидимым для классических антивирусных решений, полагающихся на сигнатуры.

Также Dexphot применял технику LOLbins (living off the land), чтобы использовать легитимные процессы Windows для выполнения вредоносного кода, а не запускать собственные исполняемые файлы и процессы. К примеру, по данным Microsoft, малварь регулярно злоупотребляла msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe и powershell.exe. Используя эти процессы для запуска вредоносного кода, Dexphot фактически становится неотличим от других локальных приложений, которые также использовали эти утилиты для выполнения своей работы.

Кроме того, Dexphot использовал технику, называемую полиморфизмом. Так, операторы Dexphot меняли имена файлов и URL-адреса, используемые в процессе заражения, каждые 20-30 минут. К тому времени, когда антивирусные решения обнаруживали паттерн в цепочке заражения Dexphot, тот менялся и позволял Dexphot оставаться на шаг впереди.

Так как ни одна малварь не останется незамеченной вечно, разработчики Dexphot позаботились и о механизме устойчивого присутствия в системе. Вредонос использовал технику, называемую process hollowing, чтобы запустить два легитимных процесса (svchost.exe и nslookup.exe), очистить их содержимое и запустить вредоносный код под их видом. Эти компоненты, замаскированные под легитимные процессы Windows, следили за тем, чтобы все части малвари были запущены и работали, и переустанавливали вредоносное ПО в случае необходимости.

Дополнительно Dexphot использовал серию запланированных заданий (регулярно меняя их имена), так что жертва подвергалась повторному бесфайловому заражению после каждой перезагрузки системы или каждые 90 или 110 минут. Эта функциональность также позволяла регулярно обновлять малварь на всех зараженных хостах. Ведь каждый раз, когда выполнялась одна из задач, файл загружался с сервера злоумышленников, и они могли вносить в него изменения.

Оставить мнение