Microsoft: Копачът на криптовалута Dexphot зарази повече от 80 000 компютъра

Експертите по сигурността на Microsoft предупредиха потребителите за атаки от миньор на криптовалута, наречен Dexphot, който е насочен към компютри с Windows от октомври миналата година. Пиковата активност на зловреден софтуер беше регистрирана през юни тази година, когато бяха заразени повече от 80 000 компютъра по целия свят.

В доклада се посочва, че за да проникне в компютрите на жертвите, злонамереният софтуер използва различни методи за заобикаляне на защитата, включително криптиране, обфускация и използване на произволни имена на файлове за прикриване на инсталационния процес. Също така е известно, че миньорът не използва никакви файлове по време на процеса на стартиране, изпълнявайки зловреден код директно в паметта. Поради това той оставя много малко следи, за да регистрира присъствието си. За да избегне откриването, Dexphot прихваща легитимни процеси на Windows, включително unzip.exe, rundll32.exe, msiexec.exe и др.

Ако потребител се опита да премахне зловреден софтуер от компютър, се задействат услуги за наблюдение и се инициира повторно заразяване. Докладът отбелязва, че Dexphot е инсталиран на компютри, които вече са били заразени. Като част от настоящата кампания зловредният софтуер достига до системи, заразени с вируса ICLoader. Злонамерените модули се изтеглят от няколко URL адреса, които също се използват за актуализиране на зловреден софтуер и извършване на повторно заразяване.

„Dexphot не е типът атака, която привлича вниманието на медиите. Това е една от многото кампании, които съществуват от дълго време. Целта му е широко разпространена в кръговете на киберпрестъпниците и се свежда до инсталиране на копач на криптовалута, който тайно използва компютърни ресурси в полза на нападателите“, каза Хейзъл Ким, анализатор на зловреден софтуер в Microsoft Defender ATP Research Group.

Източник: 3dnews.ru