Dexphot
De Dexphot-malware is een nogal geavanceerde cryptocurrency-mijnwerker, die is geprogrammeerd voor machines waarop Windows wordt uitgevoerd. Bedreigingen van dit type werken meestal op een vergelijkbare manier: ze infecteren een host en gebruiken vervolgens de rekenkracht van het systeem om cryptocurrency te delven, die wordt overgedragen aan de exploitanten van de mijnwerker. De Dexphot-bedreiging kwam voor het eerst op de radar van malware-onderzoekers in 2018, maar de activiteit is geleidelijk toegenomen en bereikte een hoogtepunt in juni 2019. Volgens rapporten had de Dexphot-mijnwerker in juni van dit jaar meer dan 90.000 systemen aangetast naar verluidt over de hele wereld.
Inhoudsopgave
Blijf onder de radar van gebruikers en analisten
De auteurs van de Dexphot-mijnwerker hebben veel moeite gedaan om ervoor te zorgen dat deze dreiging niet wordt opgemerkt door hun slachtoffers. Dit wordt bereikt door in een fileless-modus te werken - de Dexphot-mijnwerker plaatst zijn bestanden eerst op de geïnfiltreerde host en verplaatst deze vervolgens naar het geheugen van het systeem, waardoor het veel minder waarschijnlijk is dat er sporen van bedreigende activiteit achterblijven. Dat maakt het slachtoffer niet alleen veel minder waarschijnlijk om de dreiging te herkennen, maar maakt de taak van malware-analisten ook veel moeilijker. Bovendien hebben de makers van de Dexphot-mijnwerker ook een techniek geïmplementeerd die 'live-off-the-land' wordt genoemd en waarmee de dreiging zijn code kan injecteren in legitieme Windows-processen die via hen kunnen worden uitgevoerd. Bovendien is de Dexphot-cryptocurrency-mijnwerker ontworpen om op een polymorfe manier te werken. Dit betekent dat de Dexphot miner ervoor zorgt dat de handtekeningen, URL's en namen regelmatig worden gewijzigd om te voorkomen dat ze worden opgemerkt door cyberbeveiligingstools en -toepassingen. Antimalwaretools vertrouwen vaak op het detecteren van patronen bij het zoeken naar bedreigingen, en de Dexphot-mijnwerker gebruikt zijn polymorfe aard om eventuele antivirusprogramma's die op de gecompromitteerde host aanwezig kunnen zijn te verwarren.
Persistentie verkrijgen
Zodra de Dexphot-cryptocurrency-mijnwerker een systeem is geïnfiltreerd, zal hij ervoor zorgen dat hij knoeit met de Windows-registersleutels om persistentie te verkrijgen. Deze dreiging zou er ook voor zorgen dat deze wordt uitgevoerd telkens wanneer de gebruikers hun systemen opnieuw opstarten door verschillende taken te plannen. De taken in kwestie kunnen verschillende doelen dienen - dankzij hen kan de Dexphot-mijnwerker zichzelf bijwerken en ook de host opnieuw infecteren, zelfs als de dreiging van de gecompromitteerde computer wordt weggevaagd. Dit laatste laat zien hoeveel moeite de auteurs van de Dexphot-mijnwerker hebben gedaan om deze dreiging vol te houden, aangezien niet veel makers van cryptocurrency-mijnwerkers zo ver gaan.
Gebruikt de Victims Hardware om cryptocurrency te mijnen
Ondanks zijn indrukwekkende functionaliteit als het gaat om het verkrijgen van persistentie en stil werken, is de Dexphot-mijnwerker in essentie nogal basic en niet te verschillend van de meeste van deze bedreigingen. Malware-onderzoekers speculeren dat de Dexphot-mijnwerker wordt geleverd als een tweede fase payload op de gecompromitteerde host, maar deze theorie moet nog worden bevestigd. Zodra de mijnwerker met succes op het beoogde systeem is geplant, zou de Dexphot-bedreiging beginnen met het ontginnen van cryptocurrency met behulp van de hardware van het slachtoffer. Dit kan niet alleen leiden tot prestatieproblemen, maar het zal waarschijnlijk ook de levensduur van het systeem verkorten als de Dexphot-mijnwerker voor een lange tijd werkt.
De Dexphot-cryptocurrency-mijnwerker is een vrij interessante bedreiging die een indrukwekkend aantal systemen heeft weten te infecteren. Ondanks een geschat aantal slachtoffers, kunnen we niet zeggen hoeveel geld de auteurs van de Dexphot-mijnwerker tot nu toe hebben verzilverd. Om uw systeem te beschermen tegen bedreigingen zoals de Dexphot, moet u een legitieme anti-malware beveiligingssuite downloaden en installeren, en vergeet niet om al uw software regelmatig bij te werken.
