Nel mentre il trend attuale prevede di rubare i dati degli utenti, o di fustigarli con pubblicità invasive, v’è stato un tempo in cui una delle minacce topic trend alla sicurezza del PC era rappresentata, assieme ai ransomware, dai virus che, zombizzati i computer, li trasformavano in minatori di criptovalute. Esattamente come accade con Dexphot, sulla cui minaccia ha appena messo in guardia Microsoft.
Il colosso di Redmond, tramite la divisione Defender e un pamphlet divulgativo condiviso in rete e col portale ZDNet, ha spiegato che le prime avvisaglie di Dexphot si sono avute ai principi dello scorso anno, sebbene il clou di sistemi infettati sia stato conseguito, nel Giugno 2018, con un array di 80.000 computer iscritti nella relativa botnet. Da quel momento, complice l’impegno dei creatori di Windows, i sistemi che risultavano quotidianamente compromessi sono andati scemando progressivamente, seppur l’emergenza non possa dirsi ancora risolta.
Da quanto appurato, Dexphot si diffonderebbe sui computer andando a scaricare programmi piratati, crackati, o attivati illegalmente: questi ultimi, se adulterati col virus ICLoader, porterebbero anche alla collaterale infezione da parte di Dexphot, il quale – però – sarebbe ben difficile da scovare: nello specifico, ciò sarebbe da imputare all’approccio fileless dello stesso, che gli permetterebbe di eseguirsi prevalentemente in memoria, senza la necessità di un’eccessiva presenza in termini di file fisici locali.
Altro escamotage di occultamento sarebbe quello definito “mimetismo polimorfico“, in base al quale il malware Dexphot varierebbe regolarmente, ogni 20 o 30 minuti, la propria firma digitale, oltre ai nomi dei file che lo costituiscono ed agli indirizzi degli url cui si connette. Non meno inquietanti sarebbero, poi, i meccanismi di permanenza messi in atto dal succitato virus.
In questo frangente, sembra che Dexphot sia in grado di occultare i suoi processi all’interno di quelli legittimi di sistema (es. svchost.exe e nslookup.exe), sì da aggirare i controlli antivirus basati anche sul riscontro dei comportamenti anomali, mettendo in atto delle routine di pianificazione che, controllato il proprio “stato di salute”, procedono a re-infettare il computer (aggiornandosi anche) a cadenze regolari (ogni 90 o 110 minuti), ad ogni riavvio, o qualora uno dei suoi componenti risultasse rimosso.
Ad oggi non è ancora noto chi sia dietro una tale campagna di contagio informatico, volto a minare criptovalute con i PC, messi a dura prova, degli utenti ma, secondo gli esperti, la complessità messa in atto con Dexphot è solitamente associata ad attacchi sponsorizzati dai governi, sebbene – sempre più, negli ultimi tempi – stia diventando consuetudinaria anche tra i comuni criminali 2.0.