La sua diffusione avviene con infezioni polimorfiche
New York – Un nuovo malware, denominato Dexphot, ha danneggiato oltre 80mila pc dall’ottobre 2018 per sfruttare le risorse, minare cripto-valute e generare accessi per nuovi attacchi hacker. Pur essendo diminuiti gli attacchi dallo scorso giugno questo malware individuato dagli analisti della sicurezza Microsoft inizia ad essere ostacolato e bloccato sempre più massivamente. La natura ‘fileless’ del Dexphot gli consente di accedere a postazioni di lavoro della vittima o al server senza essere notato. La diffusione avviene tramite infezioni polimorfiche che consente ad una sequenza di byte per identificare in maniera univoca un malware, sia crittografato il proprio codice e utilizzato per ogni successiva infezione una chiave diversa. Il meccanismo di infezione complessa ideato dai pirati informatici autori del Dexphot permette di infettare i pc con modalità sempre diverse aggiornando la botnet di controllo. In realtà non si trattano di novità assolute tra le tecniche di attacco, considerato che i malware Astaroth e Nodersok avevano già attivato funzioni per sfuggire a controlli di antivirus e per trasformare i pc in zombie proxy. In merito anche gli esperti di sicurezza del Cert-PA hanno accertato che è un fail-safe, ossia sfrutta attività pianificate per assicurarsi che la vittima sia compromessa continuamente dopo ogni riavvio a scadenze di 90-110 minuti. Inoltre sempre gli analisti di Cert-PA hanno ricordato che «Dexphot compromette i pc in modalità sempre diverse e nuove» e per avviare ed eseguire cryptominer sfrutta i codici dei processi legittimi di Windows, msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe e powershell.exe.
.