مایکروسافت درباره بدافزار Dexphot توضیح داد که از سال 2018 در حال آلوده کردن رایانه‌های ویندوزی است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)،پژوهشگران امنیتی مایکروسافت جزئیاتی را از یک بدافزار جدید منتشر کردند که از ماه اکتبر سال ۲۰۱۸ در حال آلوده کردن رایانه‌های ویندوزی است تا برای ایجاد درآمد برای مهاجمان، منابع سیستم هدف را به جهت کاوش رمزارز مورد بهره‌برداری قرار دهد.

بدافزار Dexphot در اواسط ماه ژوئن در سال جاری به اوج فعالیت خود رسید که رایانه‌های آلوده شده توسط آن به حدود ۸۰ هزار مورد رسید. پس از این تاریخ، آلودگی‌های روزانه Dexphot کاهش یافت که به ادعای مایکروسافت این امر به دلیل پیاده‌سازی اقدامات دفاعی برای بهبود شناسایی و توقف آنهاست.

در حالی که هدف نهایی بدافزار Doxphot بسیار پیش پا افتاده است، اما روش‌ها و تکنیک‌های استفاده شده در این بدافزار دارای پیچیدگی‌های بالایی هستند. این بدافزار یکی از تهدیدهای بی‌شماری است که در هر زمان فعال است. بدافزار دارای هدف رایجی است و با نصب یک کاوش‌گر رمز ارز، به‌طور کاملا مخفیانه منابع رایانه را به سرقت می‌برد و برای عوامل خود درآمدزایی می‌کند. تکنیک‌های پیشرفته Dexphot شامل اجرای بدون فایل، تکنیک‌های چندشکلی (polymorphic) و مکانیزم‌های پایداری بوت هوشمند و اضافی می‌شوند.

به گفته مایکروسافت، Dexphot یک بدافزار مرحله دوم است - نوعی بدافزار که بر روی سیستم‌هایی که قبلاً توسط سایر بدافزارها آلوده شده‌اند، منتقل می‌شوند. در این حالت، Dexphot روی رایانه‌هایی قرار می‌گیرد و قبلا به ICLoader آلوده شده بودند. ICLoader بدافزاری است که معمولاً به عنوان بخشی از بسته‌های نرم‌افزاری، بدون اطلاع کاربر یا در هنگام بارگیری و نصب کرک نرم‌افزارهای دزدی، در رایانه هدف نصب می‌شود.

مایکروسافت می‌گوید که نصب‌کننده بدافزار تنها بخشی از Dexphot است که روی دیسک نوشته می‌شود، اما این کار تنها برای مدت زمان کوتاهی انجام می‌شود. تمام فایل‌ها یا عملیات Dexphot از یک تکنیک معروف به عنوان اجرای بدون فایل، بهره می‌گیرند که این تکنیک برای اجرا در حافظه رایانه استفاده شده و باعث مخفی ماندن حضور بدافزار روی یک سیستم می‌شود.

علاوه بر این، Dexphot از تکنیکی به نام LOLbins استفاده‌می‌کند تا به جای استفاده از فایل‌ها و فرایندهای خود، از فرایندهای پردازشی قانونی ویندوز برای اجرای کد مخرب سوء‌استفاده کند. به عنوان مثال، Dexphot مرتباً از فایل‌های اجرایی از پیش نصب شده msiexec.exe ،unzip.exe ،rundll۳۲.exe ، schtasks.exe و owershell.exe سوء‌استفاده می‌کند. با استفاده از این فرایندها برای راه اندازی و اجرای کد مخرب، Dexphot به خوبی از سایر برنامه‌های محلی ویندوز غیر قابل تشخیص می‌شود.

از دیگر پیچیدگی‌های Dexphot، استفاده از تکنیک چندشکلی (polymorphism) است. این تکنیک به بدافزارهایی اطلاق می‌شود که به طور مداوم اثرات خود را تغییر می‌دهند. طبق گفته مایکروسافت، اپراتورهای Dexphot هر ۲۰ الی۳۰ دقیقه یک بار نام فایل‌ها و URLهای مورد استفاده در فرایند آلودگی را تغییر می‌دهند. با بهره‌گیری از این تکنیک، راهکارهای ضدبدافزار به سختی می‌توانند Dexphot را شناسایی کنند. زمانی که یک برنامه ضدویروس الگوی موجود در زنجیره آلودگی Dexphot را تشخیص دهد، این الگو تغییر کرده و به اپراتور Dexphot اجازه می‌دهد تا یک قدم جلوتر از محصولات امنیتی باشند.
اما هیچ بدافزاری برای همیشه کشف نشده باقی نمی‌ماند و حتی این مورد را نیز توسعه‌دهندگان Dexphot از قبل پیش‌بینی کرده‌اند. مایکروسافت می‌گوید Dexphot دارای مکانیزم‌های پایداری هوشمندانه است که اغلب سیستم‌هایی را که از کلیه اثرات بدافزار پاک نشده‌اند، دوباره آلوده می‌کند.

در ابتدا، بدافزار از تکنیکی بنام process hollowing استفاده می‌کند تا دو فرآیند مشروع (svchost.exe و nslookup.exe) را آغاز کند، محتوای آن‌ها را خالی کرده و کد مخرب را از درون آنها اجرا کند. این دو فرایند بدافزار را رصد می‌کنند تا در صورتی که یک نرم‌افزار ضدویروس یکی را حذف کند، فرایند دوم به عنوان پشتیبان عمل کرده و سیستم را دوباره آلوده کند.

قابلیت دیگر بدافزار، آلودگی‌سازی مجدد سیستم هدف طی هر راه‌اندازی مجدد و یا هر ۹۰ الی ۱۱۰ دقیقه است. از آنجا که این فعالیت‌های برنامه‌ریزی شده در فواصل منظم انجام می‌شوند، عوامل Dexphot دارای قابلیت به‌روزرسانی سیستم‌های آلوده شده نیز هستند. با هربار اجرای این فعالیت‌های برنامه‌ریزی شده، فایلی از سرور مهاجم دریافت می‌شود که حاوی دستورالعمل‌های به‌روز شده برای بدافزار است.

به گفته مایکروسافت، اقدامات دفاعی جدیدی برای بهبود شناسایی و توقف این بدافزار در Microsoft Defender اعمال شده‌است تا حفاظت جامع در قبال این بدافزار انجام شود.