Dexphot, il miner di cryptovaluta individuato da Microsoft

27/11/2019

Dexphot malware miner

 

Un nuovo malware, denominato Dexphot, è stato scoperto dai ricercatori di sicurezza di Microsoft. Il malware ha iniziato a propagarsi nel 2018 e a metà giugno 2019 sembrerebbe aver infettato già 80.000 macchine. L’obiettivo del malware è installare un miner di criptovalute sul dispositivo.

 

Secondo quanto riportato, Dexphot è un payload di secondo livello, un tipo di malware che viene rilasciato su sistemi già infettati da altri malware, in questo caso Dexphot mira ai computer precedentemente infettati da ICLoader.

Il meccanismo di infezione permette di compromettere i computer con modalità sempre diverse, la fase di infezione coinvolge diversi file e processi; durante la fase di esecuzione Dexphot scrive cinque file sul disco:

  • Un tool di installazione che utilizza due URL per scaricare payload dannosi. (Queste sono le stesse due URL che Dexphot utilizzerà in seguito per stabilire la persistenza, aggiornare il malware e reinfettare il dispositivo);
  • Un file MSI scaricato da una delle URL. (Il programma di installazione scarica un pacchetto MSI quindi avvia msiexec.exe per eseguire un’installazione invisibile all’utente);
  • Un archivio ZIP protetto da password;
  • Una DLL, che viene estratta dall’archivio;
  • Un file di dati cifrato che contiene tre file eseguibili aggiuntivi che vengono caricati nei processi di sistema.

    Il malware utilizza processi legittimi di Windows, msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe e powershell.exe, per avviare ed eseguire codice dannoso.

    I ricercatori hanno inoltre notato che le URL utilizzate per scaricare i payload sono simili, il dominio termina in genere in .info o .net. Dexphot funziona anche come fail-safe, ovvero utilizza attività pianificate per assicurarsi che la vittima venga nuovamente compromessa dopo ogni riavvio o una volta ogni 90 o 110 minuti.

    Di seguito un grafico esplicativo sul funzionamento di Dexphot.

    Ulteriori dettagli tecnici e relativi IoC sono disponibili sulle pagine ufficiali di Microsoft Security.