Dexphot
Il malware Dexphot è un minatore di criptovaluta piuttosto sofisticato, programmato per colpire i computer che eseguono Windows. Minacce di questo tipo di solito operano in modo molto simile: infettano un host e quindi usano la potenza di calcolo del sistema per estrarre la criptovaluta, che viene trasferita agli operatori del minatore. La minaccia Dexphot è entrata nel radar dei ricercatori di malware nel 2018, ma la sua attività è andata gradualmente aumentando, raggiungendo un punto culminante nel giugno 2019. Secondo i rapporti, a giugno di quest'anno, il minatore Dexphot aveva compromesso oltre 90.000 sistemi presumibilmente in tutto il mondo.
Sommario
Rimanere sotto il radar di utenti e analisti
Gli autori del minatore Dexphot hanno fatto molti sforzi per assicurarsi che questa minaccia non venisse rilevata dalle loro vittime. Ciò si ottiene funzionando in modalità senza file: il minatore Dexphot posiziona prima i suoi file sull'host infiltrato e poi li sposta nella memoria del sistema, rendendo molto meno probabile che lasci tracce di attività minacciosa. Ciò non solo rende molto meno probabile per la vittima individuare la minaccia, ma rende anche il lavoro degli analisti di malware molto più duro. Inoltre, i creatori del minatore Dexphot hanno anche implementato una tecnica chiamata "vita off-the-land" che consente alla minaccia di iniettare il suo codice nei processi di Windows che sono legittimi e che operano attraverso di essi. Inoltre, il minatore di criptovaluta Dexphot è progettato per funzionare in modo polimorfico. Ciò significa che per evitare di essere individuato dagli strumenti e dalle applicazioni di sicurezza informatica, il minatore Dexphot si assicura di cambiare regolarmente firme, URL e nomi. Gli strumenti anti-malware spesso si basano sul rilevamento di schemi quando cercano minacce e il minatore Dexphot usa la sua natura polimorfica per confondere qualsiasi applicazione antivirus che può essere presente sull'host compromesso.
Guadagnare persistenza
Una volta che il minatore di criptovaluta Dexphot si è infiltrato in un sistema, si assicurerà di manomettere le chiavi del registro di Windows per ottenere persistenza. Questa minaccia assicurerebbe inoltre che venga eseguita ogni volta che gli utenti riavviano i loro sistemi programmando varie attività. Le attività in questione possono servire a diversi scopi: grazie a loro, il minatore Dexphot può aggiornarsi e anche disinfettare l'host anche se la minaccia viene cancellata dal computer infetto. Quest'ultimo dimostra quanto sforzo gli autori del minatore di Dexphot hanno messo nel perseguire questa minaccia, dato che non molti creatori di minatori di criptovaluta si spingono così lontano.
Utilizza l'hardware delle vittime per minare la criptovaluta
Nonostante la sua impressionante funzionalità quando si tratta di ottenere persistenza e operare in silenzio, il minatore Dexphot, nella sua essenza, è piuttosto semplice e non troppo diverso dalla maggior parte delle minacce di questo tipo. I ricercatori di malware ipotizzano che il minatore Dexphot venga consegnato come payload di secondo stadio sull'host compromesso, ma questa teoria deve ancora essere confermata. Una volta che il minatore è stato installato correttamente sul sistema di destinazione, la minaccia Dexphot avrebbe iniziato a estrarre la criptovaluta utilizzando l'hardware della vittima. Ciò potrebbe non solo portare a problemi di prestazioni, ma è anche probabile che accorcia la durata del sistema se il minatore Dexphot funziona per un lungo periodo di tempo.
Il minatore di criptovaluta Dexphot è una minaccia piuttosto interessante che è riuscita a infettare un numero impressionante di sistemi. Pur avendo un numero approssimativo di vittime, non possiamo dire quanti soldi hanno incassato gli autori del minatore di Dexphot. Per proteggere il tuo sistema da minacce come Dexphot, assicurati di scaricare e installare una suite di sicurezza antimalware legittima e non dimenticare di aggiornare regolarmente tutto il software.
