Microsoft: Dexphot Malware infiziert mehr als 80.000 Rechner

[English]Sicherheitsforscher von Microsoft haben festgestellt, dass mehr als 80.000 Rechner durch einen Malware mit dem Namen Dexphot infiziert worden sind. Die Schadsoftware wird aktuell für Crypto-Mining eingesetzt.

Das Ganze läuft bereits seit 2018, wobei der Peak der Infektionen im Juni mit 80.000 Infektionen erreicht wurde. Ich bin über folgenden Tweet auf die Information gestoßen.

Microsoft says new Dexphot malware infected more than 80,000 computers

> delivered via ICLoader
> used for cryptomining
> peaked in June at 80k infections
> used fileless execution, LOLbins, polymorphism, and redundant boot persistence mechanismshttps://t.co/vzsplOiW3g pic.twitter.com/GKgVqsodYu

— Catalin Cimpanu (@campuscodi) November 26, 2019

Erstmals im Oktober 2018 bemerkt

Microsoft hat die Details in diesem Blog-Beitrag veröffentlicht. Die Malware wurde im Oktober 2018 bemerkt, als Microsofts polymorphes Ausbruchüberwachungssystem einen großen Anstieg an Meldungen verzeichnete. Das deutet darauf hin, dass sich eine groß angelegte Malware-Kampagne entwickelte.

Microsofts Sicherheitsteam konnte dann beobachten, wie die neue Malware versuchte, Dateien, die sich alle 20-30 Minuten änderten, auf Tausenden von Geräten einzuschleusen. Die Malware wurden dann von Microsoft mit dem Namen "Dexphot" benannt.

Trickreiche Methoden zur Infektion

Der Dexphot-Angriff verwendete eine Vielzahl von ausgeklügelten Methoden, um Sicherheitslösungen zu umgehen. Es gibt verschiedene Ebenen der Verschleierung des Codes (Obfuscation), der Verschlüsselung, und der Verwendung von zufälligen Dateinamen, um den Installationsprozess zu verbergen.

Dexphot verwendete dateilose Techniken, um Schadcode im Speicher auszuführen, wobei nur wenige Spuren hinterlassen wurden, die für die Forensik verwendet werden können. Der Schadcode hat legitime Systemprozesse gekapert, um böswillige Aktivitäten zu tarnen. Wenn Dexphot während der Infektionsphase nicht gestoppt wird, läuft letztendlich ein Crypto-Miner auf dem Gerät. Vom Schädling aufgesetzte Überwachungsdienste und geplante Aufgaben lösen eine erneute Infektion aus, sobald versucht wird, die Malware zu entfernen.

Microsoft Defender ATP block Dexphot 

Die Erkennungsmodule von Microsoft Defender Advanced Threat Protection blockierten in den meisten Fällen Dexphot bereits vor der Ausführung. Falls das einmal nicht gelang, boten verhaltensbasierte maschinelle Lernmodelle Schutz. Angesichts der Persistenzmechanismen der Bedrohung, des Polymorphismus und der Verwendung von dateilosen Techniken war die verhaltensbasierte Erkennung, laut Microsoft, ein wichtiger Bestandteil des umfassenden Schutzes vor dieser Malware und anderen Bedrohungen, die ein ähnliches bösartiges Verhalten aufweisen.

Laut dieser Microsoft-Seite erkennt auch der Windows Defender unter Windows 8.1 und Windows 10 diesen Schädling als Trojan:Win32/Dexphot. Auf Grund der Erkennungsmöglichkeiten geht die Infektionsrate inzwischen war stark zurück. Details sind in diesem Microsoft-Artikel nachlesbar.