Er is een nieuwe malware-variant op de markt die al behoorlijk wat slachtoffers heeft gemaakt. Het gaat om Dexphot, dat door beveiligingsonderzoekers van Microsoft werd ontdekt. De malware bereikte in juni zijn piek, toen het bijna 80.000 computers geïnfecteerd had.
Dexphot is al sinds oktober 2018 actief, schrijft ZDNet. De malware infecteert computers om deze te misbruiken om cryptovaluta te mijnen. Op die manier verdienen hackers geld. Dexphot is dus een cryptominer, maar dan wel één die opvalt door zijn geavanceerde technieken om binnen te dringen.
Dexphot gebruikt bijvoorbeeld fileless execution, waarbij de malware niet als bestand op de computer geïnstalleerd staat. In plaats daarvan leeft de malware alleen in het geheugen van een computer. Daardoor is deze beter beschermd tegen pogingen om malware te verwijderen.
Ook gebruikt de malware technieken om terug te keren op een systeem nadat een gebruiker het verwijderd heeft. Als niet alle delen van de malware verwijderd worden, installeert Dexphot zichzelf opnieuw.
Meeliften op andere malware
Dexphot verschijnt niet zomaar op computers, maar lift mee op andere malware. De cryptominer verschijnt op computers die eerder al geïnfecteerd waren met ICLoader. ICLoader is een vorm van malware die meestal meekomt met softwarebundels, zonder dat de gebruiker het weet. Ook komt ICLoader vaak mee bij het illegaal downloaden van software.
In sommige gevallen downloadden de hackers achter ICLoader na infectie de Dexphot-installer, zodat een getroffen systeem ook daarmee geïnfecteerd werd. Die installer is het enige wat op de harde schijf verschijnt en ook dat is maar tijdelijk.
Daarna gebruikt Dexphot een techniek genaamd ‘living off the land’. Daarbij worden legitieme Windows-processen misbruikt om malafide code uit te voeren. De malware voert dus geen eigen processen uit.
Infecties nemen af
Dexphot bereikte in juni dit jaar dus zijn piek met bijna 80.000 geïnfecteerde computers. Sinds dat moment is het aantal dagelijkse infecties langzaam gaan dalen. Microsoft stelt dan ook dat het tegenmaatregelen heeft ingezet om de detectie van Dexphot te verbeteren en aanvallen te stoppen.
2 uur geleden
