Microsoft: Dexphot Malware infiziert mehr als 80.000 Rechner

[English]Sicherheitsforscher von Microsoft haben festgestellt, dass mehr als 80.000 Rechner durch einen Malware mit dem Namen Dexphot infiziert worden sind. Die Schadsoftware wird aktuell für Crypto-Mining eingesetzt.


Anzeige

Das Ganze läuft bereits seit 2018, wobei der Peak der Infektionen im Juni mit 80.000 Infektionen erreicht wurde. Ich bin über folgenden Tweet auf die Information gestoßen.

Erstmals im Oktober 2018 bemerkt

Microsoft hat die Details in diesem Blog-Beitrag veröffentlicht. Die Malware wurde im Oktober 2018 bemerkt, als Microsofts polymorphes Ausbruchüberwachungssystem einen großen Anstieg an Meldungen verzeichnete. Das deutet darauf hin, dass sich eine groß angelegte Malware-Kampagne entwickelte.


Anzeige

Microsofts Sicherheitsteam konnte dann beobachten, wie die neue Malware versuchte, Dateien, die sich alle 20-30 Minuten änderten, auf Tausenden von Geräten einzuschleusen. Die Malware wurden dann von Microsoft mit dem Namen "Dexphot" benannt.

Trickreiche Methoden zur Infektion

Der Dexphot-Angriff verwendete eine Vielzahl von ausgeklügelten Methoden, um Sicherheitslösungen zu umgehen. Es gibt verschiedene Ebenen der Verschleierung des Codes (Obfuscation), der Verschlüsselung, und der Verwendung von zufälligen Dateinamen, um den Installationsprozess zu verbergen.

Dexphot verwendete dateilose Techniken, um Schadcode im Speicher auszuführen, wobei nur wenige Spuren hinterlassen wurden, die für die Forensik verwendet werden können. Der Schadcode hat legitime Systemprozesse gekapert, um böswillige Aktivitäten zu tarnen. Wenn Dexphot während der Infektionsphase nicht gestoppt wird, läuft letztendlich ein Crypto-Miner auf dem Gerät. Vom Schädling aufgesetzte Überwachungsdienste und geplante Aufgaben lösen eine erneute Infektion aus, sobald versucht wird, die Malware zu entfernen.

Microsoft Defender ATP block Dexphot 

Die Erkennungsmodule von Microsoft Defender Advanced Threat Protection blockierten in den meisten Fällen Dexphot bereits vor der Ausführung. Falls das einmal nicht gelang, boten verhaltensbasierte maschinelle Lernmodelle Schutz. Angesichts der Persistenzmechanismen der Bedrohung, des Polymorphismus und der Verwendung von dateilosen Techniken war die verhaltensbasierte Erkennung, laut Microsoft, ein wichtiger Bestandteil des umfassenden Schutzes vor dieser Malware und anderen Bedrohungen, die ein ähnliches bösartiges Verhalten aufweisen.

Laut dieser Microsoft-Seite erkennt auch der Windows Defender unter Windows 8.1 und Windows 10 diesen Schädling als Trojan:Win32/Dexphot. Auf Grund der Erkennungsmöglichkeiten geht die Infektionsrate inzwischen war stark zurück. Details sind in diesem Microsoft-Artikel nachlesbar.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Microsoft: Dexphot Malware infiziert mehr als 80.000 Rechner

  1. MOSTLY HARMLESS: siehe "The Hitchhiker's Guide to the Galaxy".

    1. "Der Dexphot-Angriff verwendete eine Vielzahl von ausgeklügelten Methoden, …"
    FALSCH bzw. "Im Westen nix Neues": keine einzige dieser Methoden ist ausgeklügelt, sondern alle sind seit Jahren wohlbekannt und wohldokumentiert.
    2. "Der Schadcode hat legitime Systemprozesse gekapert, …"
    FALSCH! Dexphot "kapert" keine (bereits laufenden) Systemprozesse, sondern lädt vorhandene (System-)Programme und ersetzt deren Code bevor dieser losläuft.
    3. "Dexphot verwendete dateilose Techniken, …"
    Korrekt … aber nur für den unter 2. beschriebenen Teil, der am Ende der Infektion stattfindet. ALLE Schritte davor verwenden Dateien.

    Die Abwehr solcher von Anfängern verbrochener Schädlinge ist TRIVIAL: die seit Windows XP verfügbaren Softwarebeschränkungsrichtlinien alias SAFER verhindern zuverlässig das Ausführen solchen Zeux … OHNE Schlangenöl!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.