В ходе атак операторы Dexphot используют множество сложных методов для обхода защитных решений, в частности обфускацию, шифрование и использование случайных имен файлов для сокрытия процесса установки. Dexphot использует бесфайловые методы для запуска вредоносного кода непосредственно в памяти, оставляя лишь несколько следов, по которым его можно отследить.
Вредонос перехватывает легитимные системные процессы Windows (например, msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe и powershell.exe) для избежания обнаружения. В конечном счете Dexphot запускает майнер криптовалюты на устройстве вместе с сервисами мониторинга и запланированными задачами, инициирующими повторное заражение при попытке удалить вредоносное ПО.
Как отмечают исследователи, Dexphot является так называемой вторичной полезной нагрузкой — ПО, устанавливаемое на ранее зараженные устройства. В данном случае Dexphot устанавливался на компьютеры, уже зараженных вредоносом ICLoader и его вариантами. Для загрузки вредоносных модулей установщик использовал два URL-адреса, те же URL были задействованы для обеспечения персистентности, обновления вредоносного ПО и повторного заражения.
Dexphot активно использует полиморфизм и шифрование, чтобы избежать обнаружения. Полиморфные техники включают в себя часто меняющиеся идентифицируемые характеристики, такие как имена и типы файлов, ключи шифрования и другие артефакты.