Dexphot
El malware Dexphot es un minero de criptomonedas bastante sofisticado, que está programado para apuntar a máquinas que ejecutan Windows. Las amenazas de este tipo generalmente operan de manera muy similar: infectan un host y luego usan la potencia informática del sistema para extraer criptomonedas, que se transfiere a los operadores del minero. La amenaza de Dexphot apareció por primera vez en el radar de los investigadores de malware en 2018, pero su actividad ha aumentado gradualmente, llegando a un punto culminante en junio de 2019. Según los informes, en junio de este año, el minero Dexphot había comprometido más de 90,000 sistemas alrededor del globo supuestamente.
Tabla de contenido
Permanecer bajo el radar de usuarios y analistas
Los autores del minero Dexphot han hecho un gran esfuerzo para asegurarse de que sus víctimas no detecten esta amenaza. Esto se logra mediante el funcionamiento en un modo sin archivos: el minero Dexphot primero colocaría sus archivos en el host infiltrado y luego los movería a la memoria del sistema, por lo que es mucho menos probable que deje rastros de actividad amenazante. Eso no solo hace que sea mucho menos probable que la víctima detecte la amenaza, sino que también hace que el trabajo de los analistas de malware sea mucho más difícil. Además, los creadores del minero Dexphot también han implementado una técnica llamada 'vivir de la tierra' que permite que la amenaza inyecte su código en procesos de Windows que son legítimos y operan a través de ellos. Además de esto, el minero de criptomonedas Dexphot está diseñado para operar de manera polimórfica. Esto significa que para evitar ser detectado por las herramientas y aplicaciones de ciberseguridad, el minero Dexphot se asegura de cambiar las firmas, las URL y los nombres de forma regular. Las herramientas antimalware a menudo se basan en la detección de patrones cuando se buscan amenazas, y el minero Dexphot utiliza su naturaleza polimórfica para confundir cualquier aplicación antivirus que pueda estar presente en el host comprometido.
Ganar persistencia
Una vez que el minero de criptomonedas Dexphot se haya infiltrado en un sistema, se asegurará de manipular las claves del Registro de Windows para ganar persistencia. Esta amenaza también garantizaría que se ejecute cada vez que los usuarios reinicien sus sistemas al programar varias tareas. Las tareas en cuestión pueden tener diferentes propósitos: gracias a ellas, el minero Dexphot puede actualizarse y también reinfectar el host incluso si la amenaza se borra de la computadora comprometida. Esto último muestra cuánto esfuerzo pusieron los autores del minero Dexphot en la persistencia de esta amenaza, ya que no muchos creadores de mineros de criptomonedas llegan tan lejos.
Utiliza el hardware de las víctimas para extraer criptomonedas
A pesar de su impresionante funcionalidad cuando se trata de ganar persistencia y operar en silencio, el minero Dexphot, en esencia, es bastante básico y no muy diferente de la mayoría de las amenazas de este tipo. Los investigadores de malware especulan que el minero Dexphot se está entregando como una carga útil de segunda etapa en el host comprometido, pero esta teoría aún no se ha confirmado. Una vez que el minero se haya plantado en el sistema objetivo con éxito, la amenaza Dexphot comenzaría a extraer criptomonedas utilizando el hardware de la víctima. Esto no solo puede conducir a problemas de rendimiento, sino que también puede acortar la vida útil del sistema si el minero Dexphot funciona durante un período prolongado.
El minero de criptomonedas Dexphot es una amenaza bastante interesante que ha logrado infectar una cantidad impresionante de sistemas. A pesar de tener un número aproximado de víctimas, no podemos decir cuánto dinero han cobrado los autores del minero Dexphot hasta ahora. Para mantener su sistema a salvo de amenazas como el Dexphot, asegúrese de descargar e instalar un paquete de seguridad antimalware legítimo y no olvide actualizar todo su software regularmente.
