Theo các kỹ sư bảo mật của Microsoft, Dexphot là chủng phần mềm độc hại mới, đạt đỉnh điểm tấn công từ giữa tháng 6 với gần 80.000 máy bị ảnh hưởng.
Sau khi xâm nhập thành công vào máy tính, Dexphot sử dụng một kỹ thuật gọi là "thực thi không tên" (fileless execution) để hoạt động ngầm trên máy tính và không bị các phần mềm diệt virus phát hiện.
Dexphot còn sử dụng một kỹ thuật khác gọi là "sống ngoài luồng" (LOLbins) để thực thi mã độc thông qua việc lợi dụng các tiến trình Windows một cách hợp pháp. Microsoft cho biết, Dexphot thường lạm dụng msiexec.exe, unzip.exe, rundll32.exe, scht task.exe và powershell.exe để chạy thay vì tự kích hoạt chính nó, khiến hệ thống không thể phân biệt mã độc này với các ứng dụng nội bộ khác sử dụng tiện ích của hệ điều hành Windows.
Những năm gần đây, các phần mềm diệt virus có thêm tính năng cập nhật chủng mã độc mới dựa trên đám mây theo thời gian thực, trong đó liệt các mã độc dùng LOLbins vào danh mục quản lý nghiêm ngặt. Tuy nhiên, Dexphot lại sử dụng một kỹ thuật khác "cao tay" hơn là Đa hình (polymorphism), tức liên tục thay đổi các thành phần của nó. Theo Microsoft, mã độc này cứ 20-30 phút lại đổi tệp và liên kết (URL). Có nghĩa, khi phần mềm diệt virus vừa cập nhật liên kết nhiễm độc cũ, Dexphot đã có cách lây nhiễm mới, luôn đi trước các ứng dụng bảo mật.
Hazel Kim, nhà phân tích phần mềm độc hại của nhóm nghiên cứu bảo mật ATP (thuộc Microsoft Defender), đánh giá Dexphot là botnet phức tạp nhưng lại làm nhiệm vụ "tầm thường" là khai thác tiền điện tử thay vì đánh cắp dữ liệu quan trọng của người dùng. "Dexphot không dùng kiểu tấn công tạo ra sự chú ý như mã độc chính thống. Nó chỉ làm nhiệm vụ tương tự mã độc bình thường khác phổ biến trong giới tội phạm mạng, đó là âm thầm cài đặt lên máy tính mục tiêu và tận dụng để tạo doanh thu cho kẻ tấn công", Kim giải thích.
Tuy nhiên, ông cũng lưu ý Dexphot là "sự minh họa cho mức độ phức tạp và tốc độ tiến hóa của các mối đe dọa trực tuyến hàng ngày, các biện pháp trốn tránh của hacker ở tầm cao mới thúc đẩy bởi lợi nhuận". Microsoft tuyên bố đã triển khai các biện pháp đối phó để cải thiện việc phát hiện và ngăn chặn các cuộc tấn công gây ra bởi Dexphot.
Bảo Lâm (theo Zdnet)