Dexphot è l’ultima minaccia cibernetica scoperta da Microsoft: è un payload di secondo livello, il cui obiettivo è installare un cryptominer nel computer della vittima (già infettato da ICLoader)

Si chiama Dexphot ed è un nuovo malware, che ha iniziato a propagarsi nel 2018 e a metà giugno 2019 sembrerebbe aver infettato già 80.000 macchine. Lo hanno scoperto i ricercatori di cyber security di Microsoft.  E’ un payload di secondo livello, il cui obiettivo è installare un cryptominer su un computer già infettato da ICLoader. Il malware utilizza tecniche fileless per eseguire il codice dannoso direttamente in memoria, lasciando solo poche tracce. Dirotta i processi di sistema legittimi per mascherare attività malevole. Se non viene interrotto, installa il miner di valute digitali con servizi di monitoraggio e attività pianificate, che provocano la re-infezione nel momento in cui si cerca di rimuoverlo. Peraltro, nel tempo il cybercrime lo ha aggiornato, prendendo di mira nuovi processi e lavorando per migliorare le misure di difesa.

Gli esperti di cyber security del CERT-PA: Il malware è anche fail-safe: si re-installa quando qualcuno prova a rimuoverlo

Gli esperti di cyber security del CERT-PA ricordano che Dexphot compromette i computer con modalità sempre diverse. Inoltre, durante la fase di esecuzione, il malware scrive cinque file sul disco:

1. Un tool di installazione che utilizza due URL per scaricare payload dannosi. (le stesse che Dexphot utilizzerà per stabilire la persistenza, aggiornare il malware e reinfettare il dispositivo);
2. Un file MSI scaricato da una delle URL. (Il programma di installazione scarica un pacchetto MSI quindi avvia msiexec.exe per eseguire un’installazione invisibile all’utente);
3. Un archivio ZIP protetto da password;
4. Una DLL, che viene estratta dall’archivio;
5. Un file di dati cifrato che contiene tre file eseguibili aggiuntivi che vengono caricati nei processi di sistema.

Il codice del cybercrime utilizza processi legittimi di Windows, msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe e powershell.exe, per avviare ed eseguire il cryptominer. Peraltro, è fail-safe. Cioè sfrutta attività pianificate per assicurarsi che la vittima venga nuovamente compromessa dopo ogni riavvio o una volta ogni 90 o 110 minuti.