Más de 80000 computadoras han sido infectadas con un nuevo malware conocido como Dexphot; Microsoft advierte que la variante sigilosa aprovecha técnicas altamente sofisticadas para evadir la detección.
Microsoft lanzó una alerta que detalla una nueva variante de malware conocida como Dexphot, que ya ha infectado más de 80,000 dispositivos desde que se descubrió por primera vez en 2018.
Si bien el virus es relativamente inocuo: los piratas informáticos aprovechan Dexphot para extraer criptomonedas, los métodos utilizados son muy complejos y sofisticados para permitirle evadir las herramientas de seguridad tradicionales.
Los ingenieros de seguridad de Microsoft descubrieron la variante en su sistema de monitoreo de brotes polimórficos, que vio una campaña a gran escala el año pasado. El malware intentó desplegar archivos que cambiaban cada 20 a 30 minutos en miles de dispositivos.
Dexphot escribe cinco archivos clave en el disco, incluido un instalador con dos URL; un archivo de paquete MSI descargado de una de las URL, un archivo zip protegido con contraseña; un cargador DRL extraído del archivo; y un archivo de datos cifrados con tres ejecutables adicionales cargados en los procesos del sistema.
“Excepto por el instalador, los otros procesos que se ejecutan durante la ejecución son procesos legítimos del sistema. Esto puede hacer que la detección y la remediación sean más difíciles ", señalaron los investigadores. "En etapas posteriores, Dexphot apunta a algunos otros procesos del sistema para el vaciado de procesos: svchost.exe, tracert.exe y setup.exe".
Los investigadores señalaron que el virus tiene capas de cifrado, ofuscación y archivos aleatorios que permiten a Dexphot evadir las soluciones de seguridad y ocultar su proceso de instalación.
"Dexphot luego utilizó técnicas sin archivos para ejecutar código malicioso directamente en la memoria, dejando solo unos pocos rastros que se pueden utilizar para el análisis forense", explicaron los investigadores. "Secuestró procesos legítimos del sistema para disfrazar la actividad maliciosa".
"Si no se detiene, Dexphot finalmente ejecutó un minero de criptomonedas en el dispositivo, con servicios de monitoreo y tareas programadas que desencadenan una nueva infección cuando los defensores intentan eliminar el malware", agregaron.
En los próximos meses, los piratas informáticos actualizaron Dexphot, apuntando a nuevos procesos y soluciones para medidas defensivas.
Microsoft señaló que si bien su protección contra amenazas avanzada bloqueó la mayoría de los intentos de virus, tomó la implementación de modelos de aprendizaje basados en el comportamiento para proteger contra aquellos casos en los que el malware se deslizó a través de las capas de defensa iniciales.
De hecho, "la detección basada en el comportamiento fue un componente crítico de la protección integral contra este malware y otras amenazas que exhiben comportamientos maliciosos similares".
Dexphot también utiliza el proceso de vaciado, una técnica utilizada para ocultar el malware dentro de los procesos legítimos del sistema y reemplaza los contenidos legítimos del proceso con código malicioso.
"La detección de código malicioso oculto usando este método no es trivial, por lo que el vaciado de procesos se ha convertido en una técnica frecuente utilizada por el malware hoy en día", explicaron los investigadores. "Este método tiene la ventaja adicional de no tener archivos: el código puede ejecutarse sin guardarse realmente en el sistema de archivos".
"No solo es más difícil detectar el código malicioso mientras se está ejecutando, es más difícil encontrar análisis forenses útiles después de que el proceso se haya detenido", agregaron.
Cabe destacar que el malware también utiliza dos servicios de monitoreo que verifican simultáneamente el estado de los tres procesos maliciosos. El uso garantiza que si se detiene un proceso de monitoreo, los monitores pueden identificar inmediatamente el problema, finalizar todos los procesos maliciosos y volver a infectar el dispositivo.
Para protegerse contra Dexphot, las organizaciones deberán emplear un motor de protección de próxima generación, que incluya detecciones de aprendizaje automático basadas en la nube que puedan reconocer y bloquear la infección inicial para detener el ataque en sus primeras etapas.
Además, los escaneos de memoria pueden detectar y terminar el código malicioso oculto por el vaciado del proceso, mientras que las capacidades de bloqueo de comportamiento y contención pueden combatir eficazmente las técnicas de persistencia, evasión y falta de archivos del malware.
“Dexphot no es el tipo de ataque que genera la atención de los medios convencionales; es una de las innumerables campañas de malware que están activas en un momento dado ", concluyeron los investigadores. "Su objetivo es muy común en los círculos cibercriminales: instalar un minero de monedas que silenciosamente roba recursos informáticos y genera ingresos para los atacantes".
"Sin embargo, Dexphot ejemplifica el nivel de complejidad y la tasa de evolución de incluso las amenazas cotidianas, con la intención de evadir las protecciones y motivado a pasar desapercibido en busca de ganancias", agregaron.
Fecha actualización el 2021-11-27. Fecha publicación el 2019-11-27. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: healthitsecurity Version movil