dexphot

Le malware Dexphot a infecté 80 000 systèmes

Microsoft a sonné l’alerte concernant le malware Dexphot qui a infecté plus de 80 000 machines. Le malware utilise les ressources des processeurs pour miner de la cryptomonnaie.

Les chercheurs ont découvert Dexphot pour la première fois en Octobre 2018. Il a atteint un nouveau pic d’activité en Juillet 2019. Le malware a une chaîne d’attaque complexe et utilise aussi différentes méthodes pour se jouer des efforts de détection. Parmi ces méthodes on note un script conçu pour vérifier la présence d’antivirus et mettre à jour régulièrement le malware.

“Son objectif est très commun dans le monde de la cybercriminalité, installer un mineur de cryptomonnaie qui utilise les ressources du PC et génère des revenus pour les hackers. Dexphot est un bon exemple du niveau de complexité et de l’évolution rapide des menaces d’aujourd’hui ainsi que leur intention de contourner les protections et d’être indétectable pour faire du profit,” a déclaré Hazel Kim de l’équipe de recherche de Microsoft Defender ATP dans un article.

Les chercheurs n’ont pas révélé comment Dexphot se propage mais apparemment lors de l’étape d’exécution initial, Dexphot écrit 5 fichiers sur le disque. La plupart de ces fichiers dont des processus légitimes et sont donc difficiles à détecter. Cependant, l’un de ces fichiers est un installeur qui contient 2 URL.

Ces processus systèmes légitimes incluent msiexec.exe (pour installer des paquets MSI plus tard), rundll32.exe (pour charger un chargeur DLL qui télécharge ensuite une archive ZIP protégée par un mot de passe), unzip.exe (pour extraire les fichiers de l’archive ZIP), schtasks.exe (pour les tâches planifiées), powershell.exe (pour faire les mises à jour).

dexphot

Pendant ce temps-là, le seul fichier non-légitime (SoftwareBundler: Win32/ICLoader) est utilisé principalement pour exécuter l’installeur Dexphot.

Une fois exécutée, l’installeur utilise ensuite les URL pour établir une persistence, mettre à jour le malware et ré-infecter l’appareil.

“L’installeur télécharge un paquet MSI depuis l’une des deux URL, et lance ensuite msiexec.exe pour effectuer une installation furtive.” ont expliqué les chercheurs. “Le paquet de Dexphot contient un script batch. Le script est la première chose que msiexec.exe exécute quand il commence l’installation.”

La chaîne d’attaque du malware se termine en lançant un mineur de cryptomonnaie sur les systèmes compromis, ce qui épuise les ressources du système. Le malware a le choix entre deux mineurs: XMRig et JCE Miner.

Evasion de détection de Dexphot

Les chercheurs affirment que Dexphot utilise une variété de méthode sophistiquée pour contourner les solutions de sécurité, y compris l’utilisation de couches d’offuscation, de chiffrement et de noms de fichier au hasard pour cacher le processus d’installation.

Le paquet MSI installé contient aussi un script offusqué qui est conçu pour vérifier les produits antivirus (Windows Defender, Avast et AVG) et stoppe le processus d’infection du malware immédiatement si un produit antivirus est en cours d’exécution.

dexphot

Si il n’est pas stoppé, Dexphot s’exécute comme un mineur de cryptomonnaie sur le système avec des services de contrôles et des tâches planifiées qui déclenchent la ré-infection lorsqu’une tentative de suppression du malware se produit.

“Deux services de contrôles vérifient l’état des trois processus malveillants,” ont expliqué les chercheurs. “Avoir deux services de contrôles permet d’avoir une redondance au cas où l’un des processus de contrôles est interrompu. Si l’un des processus est arrêté, les contrôleurs identifient immédiatement la situation, mettent fin aux processus malveillants et ré-infectent le système.”

“Cette méthode a l’avantage d’être sans-fichier: le code peut être exécuté sans être stocké sur le système,” ont déclaré les chercheurs. “Non seulement le code malveillant est plus difficile à détecter quand il s’exécute, il est aussi plus difficile de trouver des traces du processus après qu’il ait été stoppé.”

Le malware a été très actif en Juillet avec plus de 80 000 infections.

“Dexphot n’est pas le type d’attaque qui génère beaucoup d’attention, c’est l’une des campagnes de malware qui sont actives tout le temps,” ont expliqué les chercheurs.

Si cet article vous a plu, jetez un œil à notre article précédent.

Poster un Commentaire

avatar
  S’abonner  
Notifier de