Microsoft detecta un complejo malware llamado Dexphot presente en casi 80.000 equipos, a los que usaban para minar criptodivisas

0
404

La división de antivirus y malware de Microsoft ha llamado la atención de sector de la ciberseguridad sobre la amenaza representada por una botnet de minado de criptodivisas que han llegado a detectar hasta en 80.000 equipos por todo el mundo durante su momento de máximo apogeo, durante el pasado mes de junio.

La existencia de este malware, aparentemente creado en octubre de 2018 y bautizado como Dexphot, ha sido desvelada por los ingenieros de Microsoft en un informe publicado ayer en su página web, en el que se detalla el funcionamiento de esta nueva ciberamenaza.

Un malware sofisticado

En palabras de la analista de Microsoft Defender Hazel Kim,

«Dexphot no es el tipo de ataque que atrae la atención de los grandes medios: es una más de las innumerables campañas de malware que puedes encontrar activas en cualquier momento.

Su meta también es común entre los ciberdelincuentes: instalar software de minado que roba silenciosamente recursos informáticos [al atacado] y genera ingresos para los atacantes.

Sin embargo, Dexphot es un ejemplo del nivel de complejidad y del ritmo de evolución que incluso las amenazas más cotidianas pueden llegar a adoptar con tal de evadir los protecciones».

Cómo saber si tu ordenador forma parte de una botnet

Así, con el objetivo de pasar desapercibido en el interior de los sistemas infectados, Dexphot llega a hacer uso uso de técnicas polimórficas, de tecnología de ejecución sin archivos y de mecanismos inteligentes de persistencia en arranque.

Además, este malware no se autorreplica para infectar nuevos equipos, sino que llega a estos alojados en un segundo malware llamado ICLoader, que se integra en otras clases de software, como programas ‘pirateados’.

La única parte de ICLoader que llega a escribirse en el disco del equipo atacado es el propio archivo de instalación de Dexphot, e incluso éste lo hace durante un brevísimo período de tiempo.

Luego, se oculta aprovechando procesos legítimos del sistema (como sistema operativo de Windows para ejecutar el malware, haciendo uso de programas necesarios como), factores todos ellos que dificultan su detección mediante los antivirus clásicos.

108 millones de dólares en Monero han sido minados usando malware

Pero la principal técnica de ocultación de Dexphot es el llamado polimorfismo, que le permite pasar inadvertido cambiando, en plazos de 20-30 minutos, tanto las URL como los nombres de archivo que utiliza; un detalle que facilita que cualquier trazo superviviente de este malware desemboque en una reinfección.

Según Kim, esta sofisticación apunta a una vinculación de este malware con organismos de ciberseguridad de carácter gubernamental, que recurrirían al minado de la criptodivisa Monero como vía de financiación, ya que su énfasis en la privacidad impide reconstruir los movimientos de los fondos generados.

Vía | ZDNet

Dexphot Modus Operandi

Dexphot Modus Operandi

Modus operandi de Dexphot (imagen de Microsoft)

Imagen | Vishnu vijayan en Pixabay