مورد حمله قرار گرفتن سیستم‌های ویندوزی توسط بدافزار Dexphot به منظور استخراج ارز دیجیتال و مانیتور کردن سرویس‌ها

بدافزار جدیدی به نام Dexphot سیستم‌های ویندوزی را مورد حمله قرار داده است.
 هدف این بدافزار، استخراج ارز دیجیتال و مانیتور کردن سرویس‌های ویندوز است. در صورت تشخیص و حذف این بدافزار توسط Windows Defender، بدافزار مذکور عملیات زمانبندی شده‌ای را  برای آلوده کردن مجدد سیستم اجرا خواهد کرد.

Dexphot از تکنیک‌های fileless (بدون وابستگی به فایل) استفاده کرده و کدهای مخرب را مستقیماً درون حافظه و به منظور پنهان کردن فعالیت خود در قالب یکی از فرآیندهای مجاز ویندوز، اجرا می‌کند.

فرآیند آلوده شدن توسط بدافزار Dexphot

این بدافزار از پروسس‌های مجاز ویندوز در جهت اجرای حملات خود استفاده می‌کند. این پروسس‌ها عبارتند از:
•    msiexec.exe_ از سرویس‌های مایکروسافت برای نصب، تغییر و انجام عملیات در نصب‌کننده ویندوز است.
•    unzip.exe_ ابزار Extract کردن فایل‌های زیپ شده است.
•    rundll32.exe_ برای اجرای فایل‌های DLL استفاده می‌شود.
•    schtasks.exe_ برای ایجاد تسک‌های برنامه‌ریزی شده استفاده می‌شود.
•    svchost.exe_ سرویس‌های Win32
•    tracert.exe_ ابزار خط فرمان شبکه
•    powershell.exe
•    setup.exe

فرآیند آلوده‌سازی، با دانلود installer برای دانلود پکیج MSI از دو آدرس جاسازی شده در بدافزار آغاز شده، و سپس از msiexec.exe برای نصب مخفیانه‌ی بدافزار استفاده می‌کند.
این بدافزار همچنین وجود آنتی‌ویروس را در سیستم مورد هدف بررسی کرده و درصورت وجود، نصب را فوراً متوقف خواهد نمود، در غیر این صورت فایل زیپ رمزگذاری شده را با استفاده از unzip.exe که در پکیج موجود است از حالت فشرده خارج می‌کند.

این فایل زیپ حاوی ۳ فایل است. این فایل‌ها loader DLL و clean DLL جهت ممانعت از شناسایی بدافزار، و داده‌های رمزگذاری شده هستند. فایل‌های مذکور در پوشه‌های دلخواه بر روی سیستم از حالت فشرده خارج می‌شوند.

Rundll32.exe برای رمزگشایی فایل‌های رمزگذاری شده مورد استفاده قرار می‌گیرد. این فایل‌ها پس از رمزگشایی حاوی سه فایل اجرایی هستند. فایل‌های اجرایی مستقیماً توسط بدافزار Dexphot، در حافظه، و با استفاده از روش hollowing اجرا می‌شوند. روش hollowing، روشی برای مخفی کردن پروسس مخرب در پروسس مجاز است.

برای شروع فرآیند hollowing، ابتدا loader DLL دو پروسس مجاز سیستم را هدف قرار داده و محتویات آن‌ها را با فایل‌های اجرایی رمزگشایی شده _مانند nslookup.exe که سرویس‌ها را مانیتور می‌کند_ جایگزین می‌کند، سپس loader، فایل setup.exe را هدف قرار داده و آن را با XMRig و اسکریپت JCE Miner جایگزین می‌نماید.

ماندگاری در سیستم
بدافزار مذکور برای حفظ ماندگاری و پایداری در سیستم آلوده، به صورت مداوم وضعیت سه فرآیند مخرب را بررسی می‌کند، در صورت متوقف شدن هر یک از این فرآیندها، مانیتورها تمام مراحل این فرآیند را خاتمه می‌دهند و عملیات آلوده کردن را مجدداً آغاز می‌کنند.
بر اساس مشاهدات مایکروسافت، بدافزار مورد بحث از schtasks.exe برای تسک‌های برنامه‌ریزی شده جهت حفظ پایداری استفاده می‌کند.
خوب است بدانید که هدف از تشکیل کمپین Dexphot، نصب استخراج‌کننده ارز دیجیتال بر روی دستگاه‌های مورد هدف، و کسب درآمد از طریق منابعِ این دستگاه‌ها بوده است.

منبع خبر: https://gbhackers.com/dexphot-malware/‎