En un mundo cada vez más tecnológico las amenazas muchas veces nos vienen de forma silenciosa y de tal forma que en no pocas ocasiones pasan desapercibidas. Microsoft ha anunciado ayer mismo la detección de Dexphot, un sofisticado Malware que busca infectar nuestros equipos instalando software de minado. Lo curioso es que lo hace de tal forma que suele pasar desapercibido, aunque usa los recursos de nuestros dispositivos para generar ingresos a los piratas.

Desde hace mucho tiempo, tanto Microsoft como empresas especializadas en seguridad nos advierten para que mantengamos nuestros dispositivos protegidos, sin embargo, esto es algo que no siempre recibe la atención merecida. Un ejemplo lo ofrecía Bitdefender España con un estudio donde daba a conocer que más de un tercio de las compañías españolas había sufrido un ciberataque durante los siete primeros meses de 2019. Una cifra que hace patente lo grave del problema.

Imagen que contiene texto, mapa  Descripción generada automáticamente

En el anuncio de Microsoft se detalla como funciona Dexphot y la variedad de métodos que usa para pasar desapercibido. Entre estas tenemos el uso de capas de ofuscación, cifrado y el usar nombres de archivos aleatorios que tratan de ocultar el proceso de instalación.

En resumen, el proceso de infectado sigue varios pasos como formato inicial de instalación con cinco archivos clave en el disco.

  1. Un instalador con dos URL.
  2. Un archivo de paquete MSI descargado de una de las URL
  3. Un archivo ZIP protegido por contraseña
  4. Una DLL de cargador, que se extrae del archivo
  5. Un archivo de datos cifrados que contiene tres ejecutables adicionales que se cargan en los procesos del sistema a través del proceso de vaciado

En su seguimiento la compañía detecto que Dexphot hizo usó de técnicas de ejecución sin archivos para ejecutar el código malicioso directamente en la memoria, secuestrando procesos legítimos del sistema para disfrazar sus propios procesos.

Un punto curioso es que el paquete de Dexphot a menudo contiene un script ofuscado diseñado para buscar antivirus y detiene el proceso de infección inmediatamente si se encuentra un antivirus ejecutándose. Al iniciar la investigación Microsoft detectó que sola se buscaba productos antivirus de Avast y AVG, agregando más tarde el propio Windows Defender Antivirus a la lista de verificación. Otros productos como Bitdefender Total Security 2020 de momento no han sido reportados.

El punto de acceso de este tipo de infecciones suele venir en productos que instalamos de forma no segura, por ejemplo, programas de crakeo o pirateados.

Sobre El Autor
Pedro A.
Editor Jefe, enamorado de mi familia y de la tecnología en cualquiera de sus formas, aficionado a la Sci-Fi y a mirar al cielo nocturno. Tratando de vivir la vida sin remordimientos.